Informasi ini ditujukan bagi developer aplikasi yang secara statis tertaut ke versi OpenSSL yang lebih lama dari 1.0.2f/1.0.1r. Versi ini memiliki kerentanan keamanan. Harap migrasikan aplikasi Anda sesegera mungkin ke OpenSSL 1.0.2f/1.0.1r atau yang lebih tinggi dan tambahkan nomor versi APK yang telah diupgrade.
Yang terjadi
Mulai tanggal 11 Juli 2016, Google Play memblokir publikasi aplikasi baru atau update yang menggunakan versi lama OpenSSL. Lihat pemberitahuan di Konsol Play Anda. Setelah batas waktu yang ditampilkan di Konsol Play, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Konsol Play Anda, lalu buka bagian Notifikasi untuk melihat aplikasi yang terpengaruh dan batas waktu untuk mengatasi masalah ini.
- Migrasikan aplikasi Anda ke OpenSSL 1.0.2f/1.0.1r atau yang lebih tinggi dan tambahkan nomor versinya.
- Kirimkan versi terupdate aplikasi yang terpengaruh.
Detail tambahan
Kerentanan ini telah diatasi dalam OpenSSL 1.0.2f/1.0.1r. Versi terbaru OpenSSL dapat didownload di sini. Untuk memastikan versi OpenSSL, Anda dapat melakukan penelusuran grep untuk ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Jika menggunakan library pihak ketiga yang menyatukan OpenSSL, Anda perlu mengupgradenya ke versi yang menyatukan OpenSSL 1.0.2f/1.0.1r atau yang lebih tinggi.
Kerentanan ini menyertakan "logjam" dan CVE-2015-3194. Serangan Logjam memungkinkan penyerang man-in-the-middle mendowngrade koneksi TLS yang rentan menjadi kriptografi tingkat-ekspor 512 bit. Hal ini memungkinkan penyerang membaca dan mengubah data apa pun yang melewati sambungan. Detail tentang kerentanan lainnya tersedia di sini. Untuk pertanyaan teknis lainnya, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security” serta “OpenSSL.”
Meskipun masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan versi OpenSSL sebelum 1.0.2f/1.0.1r, sebaiknya selalu update semua patch keamanan Anda. Aplikasi dengan kerentanan yang menimbulkan risiko bagi pengguna untuk disusupi dapat dianggap sebagai pelanggaran atas kebijakan Perilaku Berbahaya dan pasal 4.4 Perjanjian Distribusi Developer kami.
Sebelum memublikasikan aplikasi, pastikan aplikasi sesuai dengan Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika memiliki pertanyaan teknis tentang kerentanan ini, Anda dapat memposting ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan guna mengatasi masalah ini, Anda dapat menghubungi tim dukungan developer kami.