Ove su informacije namijenjene razvojnim programerima aplikacija koje statički povezuju s verzijama OpenSSL-a starijima od verzije 1.02f/1.01r. Te verzije sadrže sigurnosne ranjivosti. Preselite svoju aplikaciju (ili više njih) na OpenSSL 1.0.2f/1.0.1r ili noviju verziju što je prije moguće i povećajte broj verzije nadograđenog APK-a.
Što se događa
Od 11. srpnja 2016. Google Play počeo je blokirati objavljivanje svih novih aplikacija ili ažuriranja koja upotrebljavaju OpenSSL. Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli mogu se ukloniti s Google Playa.
Potrebna je radnja
- Prijavite se na Play Console i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Preselite aplikaciju na OpenSSL 1.02f/1.01r ili noviju verziju i povećajte broj verzije.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Dodatne pojedinosti
Ranjivosti su uklonjene u OpenSSL-u 1.02f/1.01r. Najnovije verzije OpenSSL-a možete preuzeti ovdje. Da biste provjerili svoju verziju OpenSSL-a, izvršite grep pretraživanje pojma ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Ako upotrebljavate biblioteku treće strane koja uključuje OpenSSL, morat ćete je nadograditi na verziju koja uključuje OpenSSL 1.02f/1.01r ili noviju verziju.
Ranjivosti uključuju "logjam" i CVE-2015-3194. Logjam napad omogućuje posredničkom napadaču da vrati ranjive TLS veze na 512-bitni kriptografski algoritam. To napadaču omogućuje da pročita i promijeni sve podatke koji se prenose tom vezom. Pojedinosti o ostalim ranjivostima dostupne su ovdje. Ostala tehnička pitanja možete objaviti na Stack Overflowu uz oznake "android-security" i "OpenSSL".
Iako te poteškoće možda neće utjecati na sve aplikacije koje upotrebljavaju verzije OpenSSL-a starije od verzije 1.02f/1.01r, najbolje je ažurirati sve sigurnosne zakrpe. Za aplikacije s ranjivostima koje ugrožavaju sigurnost korisnika može se smatrati da krše pravila o zlonamjernom ponašanju i odjeljak 4.4 Ugovora o distribuciji za razvojne programere.
Prije objavljivanja aplikacija provjerite jesu li u skladu s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.