Kako odpraviti ranljivosti protokola OpenSSL v aplikacijah

Te informacije so namenjene razvijalcem aplikacij, ki vzpostavljajo statično povezavo z različico protokola OpenSSL, starejšo od 1.0.2f/1.0.1r.  Te različice imajo varnostne ranljivosti. V aplikacijah začnite čim prej uporabljati protokol OpenSSL 1.0.2f/1.0.1r ali novejšo različico in povečajte številko različice nadgrajenega APK-ja.

Kaj se dogaja?

Google Play je začel 11. julija 2016 blokirati objavo vseh novih aplikacij ali posodobitev, ki uporabljajo starejše različice protokola OpenSSL. Preberite obvestilo v Konzoli PlayMorebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.

Potrebno ukrepanje

  1. Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
  2. V aplikaciji začnite uporabljati protokol OpenSSL 1.0.2f/1.0.1r ali novejšo različico in povečajte številko različice.
  3. Pošljite posodobljene različice aplikacij, ki jih to zadeva.

Dodatne informacije

Ranljivosti so bile odpravljene v različici protokola OpenSSL 1.0.2f/1.0.1r. Najnovejše različice protokola OpenSSL lahko prenesete tukaj. Če želite potrditi različico protokola OpenSSL, lahko z orodjem »grep« poiščete ($ unzip -p VašaAplikacija.apk | strings | grep "OpenSSL").

Če uporabljate knjižnico drugega ponudnika, v katero je vključen protokol OpenSSL, jo morate nadgraditi na različico, ki vključuje protokol OpenSSL različice 1.0.2f/1.0.1r ali novejše.

Med ranljivostmi sta »logjam« in CVE-2015-3194. Napad Logjam omogoča izvajalcu napada s posredovanjem prometa spreminjanje ranljivih povezav TLS v manj zmogljivo 512-bitno šifriranje, primerno za izvoz. S tem je napadalcu omogočeno branje in spreminjanje podatkov, poslanih prek povezave. Podrobnosti o drugih ranljivostih so na voljo tukaj. Če imate druga tehnična vprašanja, jih objavite v skupnosti Stack Overflow ter uporabite oznaki »android-security« in »OpenSSL«.

Čeprav te ranljivosti morda ne vplivajo na vse aplikacije, ki uporabljajo različice protokola OpenSSL, starejše od 1.0.2f/1.0.1r, priporočamo, da imate nameščene vse najnovejše varnostne popravke. Aplikacije z ranljivostmi, ki uporabnike izpostavijo nevarnosti napada, bomo morda obravnavali, kot da kršijo pravilnik o zlonamernem vedenju in razdelek 4.4 pogodbe o distribuciji za razvijalce.

Pred objavo aplikacij poskrbite, da bodo skladne s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini

Tu smo, da vam pomagamo

Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.

false
Glavni meni
14056440095086261115
true
Iskanje v centru za pomoč
true
true
true
true
true
5016068
false
false