Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa linkitetään staattisesti OpenSSL-versiota 1.0.2f tai 1.0.1r vanhempaan versioon. Kyseiset versiot sisältävät tietoturvahaavoittuvuuksia. Päivitä sovelluksesi OpenSSL:n versioon 1.0.2f/1.0.1r tai sitä uudempaan mahdollisimman pian ja muokkaa päivitetyn APK:n versionumeroa.
Mistä on kyse?
11.7.2016 alkaen Google Play alkoi estää kaikkien sellaisten sovellusten tai päivitysten julkaisemisen, jotka käyttävät OpenSSL:n vanhempia versioita. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset saatetaan poistaa Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Ota OpenSSL:n versio 1.0.2f/1.0.1r tai uudempi käyttöön sovelluksessasi ja päivitä sovelluksesi versionumero.
- Lähetä sovellusten päivitetyt versiot.
Lisätietoja
Haavoittuvuudet korjattiin OpenSSL:n versiossa 1.0.2f/1.0.1r. Voit ladata OpenSSL:n uusimmat versiot täältä. Voit tarkistaa OpenSSL:n versionumeron tekemällä seuraavan grep-haun: ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Jos käytät OpenSSL:n sisältävää kolmannen osapuolen kirjastoa, päivitä se versioon, joka sisältää OpenSSL:n version 1.0.2f/1.0.1r tai uudemman.
Haavoittuvuuksiin sisältyvät logjam ja CVE-2015-3194. Logjam-hyökkäyksessä välistävetäjä voi heikentää haavoittuvia TLS-yhteyksiä ja määrittää ne käyttämään 512-bittistä export grade -salausta. Tämä sallii hyökkääjän lukea ja muokata yhteyden kautta siirrettäviä tietoja. Saat lisätietoja muista haavoittuvuuksista täältä. Muita teknisiä kysymyksiä voit esittää Stack Overflow -sivustolla. Merkitse kysymyksesi tageilla android-security ja OpenSSL.
Vaikka nämä ongelmat eivät välttämättä koske kaikkia sovelluksia, joissa käytettävä OpenSSL-versio on vanhempi kuin 1.0.2f/1.0.1r, suosittelemme kaikkien tietoturvakorjauksien käyttöönottoa. Jos sovelluksessa on käyttäjille mahdollisesti haitallisia haavoittuvuuksia, sen voidaan katsoa rikkovan haitallista toimintaa koskevaa käytäntöämme ja kehittäjien jakelusopimuksen kohtaa 4.4.
Ennen kuin julkaiset sovelluksen, varmista, että se noudattaa kehittäjien jakelusopimusta ja sisältökäytäntöä.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.