Информацията по-долу е предназначена за програмисти на приложения, които са статично свързани с версии на OpenSSL, по-стари от 1.0.2f/1.0.1r. Тези версии съдържат уязвимости в сигурността. Моля, възможно най-скоро променете приложенията си, така че да използват OpenSSL 1.0.2f/1.0.1r или по-нова версия и увеличете номера на версията на надстроения APK файл.
Какво се случва
От 11 юли 2016 г. Google Play започна да блокира публикуването на нови приложения и на актуализации, в които се използват по-стари версии на OpenSSL. Моля, вижте известието в Play Console. След крайните срокове, показани в Play Console, всички приложения, които съдържат уязвимости в сигурността, може да бъдат премахнати от Google Play.
Изисква се действие
- Влезте в профила си в Play Console и преминете към секцията „Сигнали“, за да видите кои приложения са засегнати и крайните срокове за решаване на тези проблеми.
- Променете приложението си така, че да използва OpenSSL 1.0.2f/1.0.1r или по-нова верия, и увеличете номера на версията на надстроения APK файл.
- Изпратете актуализираните версии на засегнатите приложения.
Допълнителни подробности
Уязвимостите бяха отстранени в OpenSSL 1.0.2f/1.0.1r. Най-новите версии на OpenSSL могат да бъдат изтеглени оттук. За да проверите коя използвате, потърсете „($ unzip -p VashetoPrilozhenie.apk | strings | grep "OpenSSL")“ чрез командата grep.
В случай че работите с библиотека на трета страна, която включва OpenSSL в пакет, ще се наложи да я надстроите, така че да се използва OpenSSL 1.0.2f/1.0.1r или по-нова версия.
Уязвимостите включват logjam и CVE-2015-3194. Logjam позволява на извършителя на атака от типа „човек по средата“ да понижи уязвимите TLS връзки до 512-битова криптография от експортен клас. Така извършителят може да чете и променя всички предавани през връзката данни. Подробности за други уязвимости са налице тук. Ако имате други технически въпроси, можете да ги публикувате в Stack Overflow и да използвате маркерите „android-security“ и „OpenSSL“.
Макар че е възможно тези проблеми да не засягат всяко приложение, в което се използват версии на OpenSSL, по-стари от 1.0.2f/1.0.1r, най-добре е да имате всички актуални корекции за сигурност. Приложенията с уязвимости, които излагат потребителите на риск от компрометиране, може да бъдат сметнати за продукти в нарушение на правилата ни за злонамереното поведение и условията в раздел 4.4 на Споразумението с програмистите относно разпространението.
Преди да публикувате приложения, моля, уверете се, че спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието.
На ваше разположение сме
Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка за програмисти.