Tyto informace jsou určeny vývojářům aplikací, které staticky odkazují na jakoukoli verzi knihovny OpenSSL starší než 1.0.2f/1.0.1r. Tyto verze obsahují chyby zabezpečení. Co nejdříve aplikace migrujte na knihovnu OpenSSL verze 1.0.2f/1.0.1r nebo novější a zvyšte číslo verze upgradovaného souboru APK.
K čemu dochází
Od 11. července 2016 začala služba Google Play blokovat publikování nových aplikací a aktualizací, které používají starší verze knihovny Open SSL. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.
Vyžadovaná akce
- Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
- Migrujte aplikaci na knihovnu OpenSSL verze 1.0.2f/1.0.1r nebo novější a zvyšte číslo verze.
- Odešlete aktualizované verze dotčených aplikací.
Další podrobnosti
Chyby zabezpečení byly odstraněny ve verzi knihovny OpenSSL 1.0.2f/1.0.1r. Nejnovější verzi knihovny OpenSSL si můžete stáhnout zde. Verzi své knihovny OpenSSL můžete ověřit vyhledáváním grep pomocí příkazu ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Pokud používáte knihovnu třetí strany, která obsahuje knihovnu OpenSSL, bude potřeba přejít na verzi knihovny s knihovnou OpenSSL verze 1.0.2f/1.0.1r nebo novější.
Tyto chyby zabezpečení zahrnují útoky typu Logjam a chybu CVE-2015-3194. Útok Logjam umožňuje útočníkovi typu „man-in-the-middle“ oslabit šifrování zranitelných připojení TLS na 512bitovou šifru export-grade. Útočník tak může číst a měnit všechna data procházející připojením. Podrobnosti o dalších chybách zabezpečení naleznete zde. Máte-li jiné technické dotazy, publikuje příspěvek na stránce Stack Overflow. Použijte štítky „android-security“ a „OpenSSL“.
Ačkoli tyto problémy nemusejí mít dopad na každou aplikaci, která používá knihovnu OpenSSL verze starší než 1.0.2f/1.0.1r, doporučujeme instalovat všechny opravy zabezpečení. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za produkty, jež porušují naše zásady ohledně škodlivého chování a odstavec 4.4 distribuční smlouvy pro vývojáře.
Před publikováním aplikací se ujistěte, zda jsou v souladu s distribuční smlouvou pro vývojáře a obsahovými zásadami.
Rádi vám poradíme
Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.