Řešení chyb zabezpečení knihovny OpenSSL v aplikacích

Tyto informace jsou určeny vývojářům aplikací, které staticky odkazují na jakoukoli verzi knihovny OpenSSL starší než 1.0.2f/1.0.1r.  Tyto verze obsahují chyby zabezpečení. Co nejdříve aplikace migrujte na knihovnu OpenSSL verze 1.0.2f/1.0.1r nebo novější a zvyšte číslo verze upgradovaného souboru APK.

K čemu dochází

Od 11. července 2016 začala služba Google Play blokovat publikování nových aplikací a aktualizací, které používají starší verze knihovny Open SSL. Další informace najdete v oznámení ve službě Play ConsolePo termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Migrujte aplikaci na knihovnu OpenSSL verze 1.0.2f/1.0.1r nebo novější a zvyšte číslo verze.
  3. Odešlete aktualizované verze dotčených aplikací.

Další podrobnosti

Chyby zabezpečení byly odstraněny ve verzi knihovny OpenSSL 1.0.2f/1.0.1r. Nejnovější verzi knihovny OpenSSL si můžete stáhnout zde. Verzi své knihovny OpenSSL můžete ověřit vyhledáváním grep pomocí příkazu ($ unzip -p YourApp.apk | strings | grep "OpenSSL").

Pokud používáte knihovnu třetí strany, která obsahuje knihovnu OpenSSL, bude potřeba přejít na verzi knihovny s knihovnou OpenSSL verze 1.0.2f/1.0.1r nebo novější.

Tyto chyby zabezpečení zahrnují útoky typu Logjam a chybu CVE-2015-3194. Útok Logjam umožňuje útočníkovi typu „man-in-the-middle“ oslabit šifrování zranitelných připojení TLS na 512bitovou šifru export-grade. Útočník tak může číst a měnit všechna data procházející připojením. Podrobnosti o dalších chybách zabezpečení naleznete zde. Máte-li jiné technické dotazy, publikuje příspěvek na stránce Stack Overflow. Použijte štítky „android-security“ a „OpenSSL“.

Ačkoli tyto problémy nemusejí mít dopad na každou aplikaci, která používá knihovnu OpenSSL verze starší než 1.0.2f/1.0.1r, doporučujeme instalovat všechny opravy zabezpečení. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za produkty, jež porušují naše zásady ohledně škodlivého chováníodstavec 4.4 distribuční smlouvy pro vývojáře.

Před publikováním aplikací se ujistěte, zda jsou v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.