Cómo solucionar las vulnerabilidades de OpenSSL en tus apps

Esta información está dirigida a los programadores de apps vinculadas de forma estática con alguna versión de OpenSSL anterior a las versiones 1.02f/1.01r,  ya que estas versiones contienen una vulnerabilidad de seguridad.  

Migra tus apps a las versiones 1.02f/1.01r de OpenSSL o a una versión posterior lo antes posible y aumenta el número de versión del APK actualizado. A partir del 11 de julio de 2016, Google Play bloqueará la publicación de cualquier actualización o app nueva que use versiones anteriores de OpenSSL. La versión publicada de tu app no se verá afectada, pero se bloquearán las actualizaciones que realices, a menos que soluciones esta vulnerabilidad.

Sigue estos pasos:

  1. Migra tu app a OpenSSL 1.02f/1.01r o versiones posteriores y aumenta el número de versión.
  2. Accede a Developer Console y envía la versión actualizada de tu app.
  3. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia. 

Las vulnerabilidades se solucionaron en las versiones 1.02f/1.01r de OpenSSL. Aquí podrás descargar las versiones más recientes de OpenSSL. Para consultar qué versión de OpenSSL usas, puedes realizar una búsqueda grep de "($ unzip -p YourApp.apk | strings | grep "OpenSSL")".

Si usas una biblioteca de terceros que incluye OpenSSL, tendrás que actualizarla a una versión que incluya OpenSSL 1.02f/1.01r o alguna versión posterior.

Las vulnerabilidades incluyen "logjam" y CVE-2015-3194. El ataque "Logjam" permite que un intermediario cambie las conexiones TLS vulnerables a criptografías con grado de exportación de 512 bits. De esta forma, el atacante puede leer y cambiar cualquier dato que se transmita durante la conexión. Para obtener más información sobre otras vulnerabilidades, ingresa aquí. Si tienes alguna consulta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa las etiquetas "android-security" y "OpenSSL".

Si bien es posible que estos problemas no afecten a todas las apps que usan las versiones de OpenSSL anteriores a las 1.02f/1.01r, se recomienda mantener todos los parches de seguridad actualizados. Es posible que las apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento con nuestra Política de comportamiento malicioso y el artículo 4.4 del Acuerdo de distribución para programadores.

Antes de publicar apps, asegúrate de que cumplan con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que te enviamos una advertencia sobre la vulnerabilidad de OpenSSL por error, comunícate con el equipo de asistencia por medio del Centro de ayuda para programadores de Google Play.