Tieto informácie sú určené pre vývojárov aplikácií, ktoré sa staticky prepájajú s verziou knižnice OpenSSL predchádzajúcou verzii 1.0.2f/1.0.1r. Tieto verzie obsahujú chyby zabezpečenia. Migrujte svoje aplikácie čo najskôr na platformu OpenSSL verzie 1.0.2f/1.0.1r alebo vyššej a zvýšte číslo verzie inovovaného súboru APK.
Čo sa deje
Od 11. júla 2016 začala služba Google Play blokovať zverejňovanie všetkých nových aplikácií a aktualizácií, ktoré používajú staršie verzie platformy OpenSSL. Informácie nájdete v oznámení v službe Play Console. Po termínoch uvedených v službe Play Console z nej môžu byť odstránené všetky aplikácie s nevyriešenými chybami zabezpečenia.
Vyžaduje sa akcia
- Prihláste sa do služby Play Console, prejdite do časti Upozornenia a zistite termíny, dokedy treba problémy vyriešiť, a aplikácie, ktorých sa to týka.
- Migrujte svoju aplikáciu na platformu OpenSSL verzie 1.0.2f/1.0.1r alebo vyššej a zvýšte číslo verzie.
- Odošlite aktualizované verzie dotyčných aplikácií.
Ďalšie podrobnosti
V platforme OpenSSL verzie 1.0.2f/1.0.1r boli príslušné chyby opravené. Najnovšie verzie platformy OpenSSL si môžete stiahnuť tu. Ak chcete skontrolovať svoju verziu platformy OpenSSL, môžete pomocou nástroja Grep vyhľadať výraz ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Ak používate knižnicu tretej strany, ktorá sa dodáva spolu s platformou OpenSSL, musíte ju inovovať na verziu, ktorá zahrnuje platformu OpenSSL verzie 1.0.2f/1.0.1r alebo vyššej.
Chyby zahrnujú „logjam“ a CVE-2015-3194. Útok Logjam umožňuje útočníkovi typu man-in-the-middle zmeniť šifrovanie pripojenia TLS s chybami zabezpečenia na 512-bitové šifrovanie typu export-grade. Útočníkovi to umožní čítať a meniť akékoľvek údaje odoslané cez príslušné pripojenie. Podrobnosti o ďalších chybách zabezpečenia sú k dispozícii na tejto adrese. V prípade iných technických otázok môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značky „android-security“ a „OpenSSL“.
Aj keď tieto konkrétne problémy nemusia ovplyvňovať každú aplikáciu využívajúcu verzie platformy OpenSSL predchádzajúce verzii 1.0.2f/1.0.1r, radšej vždy používajte všetky aktuálne opravy zabezpečenia. Aplikácie s chybami zabezpečenia vystavujúce používateľov riziku napadnutia môžu byť považované za produkty, ktoré porušujú pravidlá škodlivého správania a sekciu 4.4 distribučnej zmluvy pre vývojárov.
Pred zverejnením aplikácií sa uistite, že sú v súlade s distribučnou zmluvou pre vývojárov a pravidlami pre obsah.
Sme tu pre vás
V prípade technických otázok týkajúcich sa tejto chyby zabezpečenia môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku android-security. Ak potrebujete ďalšie vysvetlenie postupu na vyriešenie tohto problému, kontaktujte tím podpory pre vývojárov.