Αυτές οι πληροφορίες αφορούν προγραμματιστές εφαρμογών που συνδέονται στατικά με μια έκδοση OpenSSL που είναι προγενέστερη από την έκδοση 1.0.2f/1.0.1r. Αυτές οι εκδόσεις περιέχουν ευπάθειες ασφαλείας. Μετεγκαταστήστε τις εφαρμογές σας στην έκδοση OpenSSL 1.0.2f/1.0.1r ή νεότερη έκδοση το συντομότερο δυνατό και αυξήστε τον αριθμό της έκδοσης του αναβαθμισμένου APK.
Τι συμβαίνει
Από τις 11 Ιουλίου 2016, το Google Play ξεκίνησε να αποκλείει τη δημοσίευση νέων εφαρμογών ή ενημερώσεων που χρησιμοποιούν παλαιότερες εκδόσεις OpenSSL. Ανατρέξτε στην ειδοποίηση στο Play Console. Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές που περιέχουν ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί, ενδέχεται να καταργηθούν από το Google Play.
Απαιτείται ενέργεια
- Συνδεθείτε στο Play Console και μεταβείτε στην ενότητα Ειδοποιήσεις για να δείτε τις επηρεαζόμενες εφαρμογές και τις προθεσμίες για την επίλυση των σχετικών ζητημάτων.
- Μετεγκεταστήστε την εφαρμογή σας στην έκδοση OpenSSL 1.0.2f/1.0.1r ή σε νεότερη έκδοση και αυξήστε τον αριθμό της έκδοσης.
- Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.
Πρόσθετα στοιχεία
Οι ευπάθειες αντιμετωπίστηκαν στην έκδοση OpenSSL 1.0.2f/1.0.1r. Μπορείτε να κατεβάσετε τις πιο πρόσφατες εκδόσεις του OpenSSL εδώ. Για να ελέγξετε ποια έκδοση του OpenSSL χρησιμοποιείτε, μπορείτε να κάνετε μια αναζήτηση grep για τον όρο ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Εάν χρησιμοποιείτε βιβλιοθήκη τρίτου μέρους η οποία περιέχει OpenSSL, θα χρειαστεί να την αναβαθμίσετε σε μια έκδοση που περιέχει OpenSSL 1.0.2f/1.0.1r ή νεότερη έκδοση.
Στις ευπάθειες περιλαμβάνεται το "logjam" και το CVE-2015-3194. Η επίθεση Logjam επιτρέπει σε κάποιον εισβολέα παρεμβολής να υποβιβάσει ευπαθείς συνδέσεις TLS στην κρυπτογράφηση export-grade 512-bit. Αυτό επιτρέπει στον εισβολέα να διαβάσει και να τροποποιήσει τυχόν δεδομένα που διαβιβάζονται μέσω της σύνδεσης. Μπορείτε να δείτε λεπτομέρειες σχετικά με άλλες ευπάθειες εδώ. Εάν έχετε άλλες ερωτήσεις τεχνικού περιεχομένου, μπορείτε να τις δημοσιεύσετε στο Stack Overflow και να χρησιμοποιήσετε τις ετικέτες "android-security" και "OpenSSL".
Παρόλο που αυτά τα ζητήματα ενδέχεται να μην επηρεάζουν κάθε εφαρμογή που χρησιμοποιεί εκδόσεις OpenSSL προγενέστερες της έκδοσης 1.0.2f/1.0.1r, είναι προτιμότερο να διατηρείτε ενημερωμένες τις εφαρμογές σας με όλες τις ενημερώσεις κώδικα ασφαλείας. Οι εφαρμογές με ευπάθειες που εκθέτουν τους χρήστες σε κίνδυνο παραβίασης ενδέχεται να θεωρηθεί ότι παραβαίνουν την Πολιτική κακόβουλης συμπεριφοράς και την ενότητα 4.4 του Συμφωνητικού διανομής για προγραμματιστές.
Πριν δημοσιεύσετε εφαρμογές, βεβαιωθείτε ότι συμμορφώνονται με το Συμφωνητικό διανομής για προγραμματιστές και την Πολιτική περιεχομένου.
Είμαστε εδώ για να σας βοηθήσουμε
Αν έχετε τεχνικές ερωτήσεις σχετικά με τη συγκεκριμένη ευπάθεια, μπορείτε να τις δημοσιεύσετε στον ιστότοπο Stack Overflow με την ετικέτα “android-security”. Για διευκρινίσεις σχετικά με τα βήματα που πρέπει να ακολουθήσετε για την επίλυση του προβλήματος, μπορείτε να επικοινωνήσετε με την ομάδα υποστήριξης προγραμματιστών.