هذه المعلومات مقدَّمة لمطوّري البرامج الذين يربطون تطبيقاتهم بشكل ثابت بإصدار OpenSSL يسبق الإصدار 1.02f/1.01r. وتحتوي هذه الإصدارات على ثغرات أمنية. يُرجى نقل تطبيقاتك إلى الإصدار OpenSSL 1.0.2f/1.0.1r أو أحدث في أقرب وقت ممكن وزيادة رقم الإصدار لحزمة APK التي تمت ترقيتها.
تحليل المشكلة
اعتبارًا من 11 يوليو (تموز) 2016، بدأ Google Play في حظر نشر أي تطبيقات أو تحديثات جديدة تستخدم الإصدارات القديمة من OpenSSL. يُرجى الرجوع إلى الإشعار في حسابك على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد تتم إزالة أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.
الإجراء المطلوب
- سجِّل الدخول إلى حسابك على Play Console، وانتقِل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة بالثغرة الأمنية والمواعيد النهائية لحلّ هذه المشاكل.
- انقل تطبيقك إلى الإصدار OpenSSL 1.0.2f/1.0.1r أو أحدث، مع زيادة رقم الإصدار.
- أرسِل النُسخ المُحدّثة من تطبيقاتك المتأثرة بالثغرة الأمنية.
تفاصيل إضافية
تمت معالجة الثغرات الأمنية في OpenSSL 1.0.2f/1.0.1r. يمكن تنزيل أحدث إصدارات OpenSSL من هنا. للتأكّد من إصدار OpenSSL المتوفر لديك، يمكنك إجراء عملية بحث باستخدام الأمر grep عن ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
إذا كنت تستخدم مكتبة تابعة لجهة خارجية وكانت هذه المكتبة تضم OpenSSL، يجب ترقيتها إلى إصدار يضم الإصدار OpenSSL 1.0.2f/1.0.1r أو أحدث.
تشمل الثغرات الأمنية "logjam" وCVE-2015-3194. ويسمح هجوم Logjam لمخترق الاتصالات بخفض درجة تشفير الاتصالات التي تستخدم معيار طبقة النقل الآمنة إلى تشفير 512 بت على مستوى التصدير. وهذا يسمح للمهاجم بقراءة أي بيانات يتم نقلها عبر الاتصال وتعديلها. تتوفر التفاصيل المتعلقة بالثغرات الأمنية الأخرى هنا. وبالنسبة إلى الأسئلة التقنية الأخرى، يمكنك نشرها في موقع Stack Overflow واستخدام العلامتين "android-security" و"OpenSSL".
على الرغم من أن هذه المشاكل قد لا تؤثر في كل تطبيق يستخدم إصدارات OpenSSL التي تسبق الإصدار 1.0.2f/1.0.1r، إلا أنه من الأفضل أن تكون على اطّلاع دائم على جميع حِزم التصحيحات الأمنية. وقد يتم اعتبار التطبيقات التي تتضمّن ثغرات أمنية تعرّض المستخدمين لخطر الاختراق أنها تنتهك سياسة السلوك الضار والبند 4.4 من "اتفاقية توزيع مطوّري البرامج".
قبل نشر التطبيقات، يُرجى التأكّد من أنها متوافقة مع اتفاقية توزيع مطوّري البرامج وسياسة المحتوى.
تسرّنا مساعدتك
إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.