Estas informações destinam-se a desenvolvedores de apps estaticamente ligados a uma versão do OpenSSL anterior a 1.0.2f/1.0.1r. Essas versões têm vulnerabilidades de segurança. Faça a migração dos seus apps para o OpenSSL 1.0.2f/1.0.1r ou posterior assim que possível e aumente o número da versão do APK atualizado.
O que está acontecendo
A partir de 11 de julho de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações que usam versões mais antigas do OpenSSL. Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.
Ação necessária
- Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
- Migre seu app para o OpenSSL 1.0.2f/1.0.1r ou posterior e aumente o número da versão.
- Envie as versões atualizadas dos apps afetados.
Detalhes adicionais
As vulnerabilidades foram corrigidas no OpenSSL 1.0.2f/1.0.1r. Faça o download das versões mais recentes do OpenSSL. Para confirmar sua versão do OpenSSL, use o comando grep em ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Se você usar uma biblioteca de terceiros que inclui o OpenSSL, será preciso fazer upgrade para uma versão que inclua o OpenSSL 1.0.2f/1.0.1r ou posterior.
As vulnerabilidades incluem logjam e CVE-2015-3194. O ataque "logjam" permite ataques man-in-the-middle, em que um invasor faz downgrade de conexões TLS vulneráveis para a criptografia de nível de exportação de 512 bits. Isso permite que o invasor leia e modifique qualquer dado transmitido por meio da conexão. Veja mais detalhes sobre outras vulnerabilidades. Para outras questões técnicas, poste no site Stack Overflow (página em inglês) e use as tags "android-security" e "OpenSSL".
Mesmo que esses problemas específicos não afetem todos os apps que usam o OpenSSL nas versões anteriores às 1.0.2f/1.0.1r, é recomendável ter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos que violam a política de Comportamento malicioso e a seção 4.4 do Contrato de distribuição do desenvolvedor.
Antes de publicar seus apps, verifique se eles estão em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.
Estamos aqui para ajudar
Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.