Cómo solucionar las vulnerabilidades de OpenSSL en tus apps

Esta información está dirigida a desarrolladores de apps que se vinculan de forma estática a una versión de OpenSSL anterior a las 1.0.2f y 1.0.1r,  ya que estas contienen una vulnerabilidad de seguridad. Migra tus apps a OpenSSL 1.0.2f, 1.0.1r o una versión posterior lo antes posible y aumenta el número de versión del APK actualizado.

Novedades

A partir del 11 de julio de 2016, Google Play comenzó a bloquear la publicación de apps nuevas o actualizaciones que usan versiones anteriores de OpenSSL. Consulta la notificación en tu cuenta de Play Console. Después de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Migra tu app a OpenSSL 1.02f, 1.01r o una versión posterior y aumenta el número de versión.
  3. Envía las versiones actualizadas de las apps afectadas.

Detalles adicionales

Las vulnerabilidades se solucionaron en las versiones 1.0.2f y 1.0.1r de OpenSSL. Aquí podrás descargar las versiones más recientes de OpenSSL. Para consultar qué versión de OpenSSL usas, puedes realizar una búsqueda grep de "($ unzip -p YourApp.apk | strings | grep "OpenSSL")".

Si usas una biblioteca de un tercero que incluya OpenSSL, tendrás que actualizarla a una versión que use OpenSSL 1.02f, 1.01r o una versión posterior.

Las vulnerabilidades incluyen "logjam" y CVE-2015-3194. El ataque "Logjam" permite que un intermediario cambie las conexiones TLS vulnerables a criptografías con grado de exportación de 512 bits. De esta forma, el atacante puede leer y cambiar cualquier dato que se transmita durante la conexión. Para obtener más información sobre otras vulnerabilidades, ingresa aquí. Si tienes preguntas técnicas, realiza una publicación en Stack Overflow y usa las etiquetas "android-security" y "OpenSSL".

Si bien es posible que los problemas no afecten a todas las apps que usan versiones anteriores a OpenSSL 1.0.2f y 1.0.1r, es aconsejable que mantengas todos los parches de seguridad actualizados. Es posible que aquellas apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento de nuestra Política de Comportamiento Malicioso y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.

Antes de publicar apps, asegúrate de que cumplan con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.