Aquesta informació va dirigida als desenvolupadors que tinguin aplicacions enllaçades de manera estàtica amb una versió d'OpenSSL anterior a 1.0.2f/1.0.1r, perquè aquestes versions contenen vulnerabilitats de seguretat. Migra les teves aplicacions a OpenSSL 1.0.2f/1.0.1r o a una versió posterior al més aviat possible i augmenta el número de versió de l'APK actualitzat.
Què passa
A partir de l'11 de juliol de 2016, Google Play va començar a bloquejar la publicació de les aplicacions o les actualitzacions noves que utilitzessin versions anteriors d'OpenSSL. Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.
Acció necessària
- Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
- Migra l'aplicació a les versions 1.0.2f/1.0.1r d'OpenSSL o a una de posterior i augmenta el número de versió.
- Envia les versions actualitzades de les aplicacions afectades.
Detalls addicionals
Les vulnerabilitats es van corregir a les versions 1.0.2f/1.0.1r d'OpenSSL. Pots baixar les darreres versions d'OpenSSL en aquest enllaç. Per confirmar quina versió d'OpenSSL fas servir, pots fer la cerca grep següent: ($ unzip -p LaTevaAplicació.apk | strings | grep "OpenSSL").
Si utilitzes la biblioteca d'un tercer en què s'inclou OpenSSL, l'has d'actualitzar a una versió que inclogui OpenSSL 1.0.2f/1.0.1r o una versió posterior.
Les vulnerabilitats inclouen "logjam" i CVE-2015-3194. L'atac logjam permet que un atacant d'intercepció canviï connexions TLS vulnerables a la criptografia de grau d'exportació de 512 bits. D'aquesta manera, l'atacant pot llegir i modificar les dades que passin per la connexió. Pots trobar informació sobre altres vulnerabilitats en aquesta pàgina. Per resoldre altres dubtes tècnics, publica les teves preguntes a Stack Overflow amb les etiquetes "android-security" i "OpenSSL".
Tot i que és possible que aquests problemes no afectin totes les aplicacions que utilitzen les versions d'OpenSSL anteriors a 1.0.2f/1.0.1r, és millor tenir tots els pedaços de seguretat actualitzats. Es pot considerar que les aplicacions amb vulnerabilitats que comporten un risc de perdre informació confidencial per als usuaris infringeixen la nostra política sobre comportament maliciós i la secció 4.4 de l'Acord de distribució per a desenvolupadors.
Abans de publicar cap aplicació, assegura't que compleixi l'Acord de distribució per a desenvolupadors i la política de continguts.
Som aquí per ajudar-te
Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.