Az OpenSSL biztonsági réseinek kijavítása alkalmazásaidban

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az 1.02f/1.01r verziónál korábbi OpenSSL-t csatolnak statikusan.  Ezek a verziók biztonsági réseket tartalmaznak. A lehető leghamarabb telepítsd át alkalmazásaidat az OpenSSL 1.0.2f/1.0.1 vagy újabb verziójára, és növeld a frissített APK-k verziószámát.

Mi történik?

2016. július 11-től kezdődően a Google Play tiltja minden olyan új alkalmazás vagy frissítés közzétételét, amely az OpenSSL régebbi verzióit használja. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Telepítsd át alkalmazásodat az OpenSSL 1.0.2f/1.0.1r vagy újabb verziójára, és növeld az alkalmazás verziószámát.
  3. Küldd be az érintett alkalmazások frissített verzióit.

Részletek

A biztonsági réseket az OpenSSL 1.0.2f/1.0.1r verziójában kijavították. Az OpenSSL legújabb verzióit innen töltheted le. Az OpenSSL-verzió ellenőrzésére használhatsz például grep-keresést: ($ unzip -p YourApp.apk | strings | grep "OpenSSL").

Ha az OpenSSL-t harmadik fél függvénytárán keresztül használod, akkor frissítsd a függvénytárat olyan verzióra, amelyhez már legalább az OpenSSL 1.0.2f/1.0.1r tartozik.

A biztonsági rések a következők: „logjam” és CVE-2015-3194. A Logjam támadás során a köztes támadó 512 bites erősségű titkosítássá gyengítheti a sebezhető TLS-kapcsolatokat. Ennek köszönhetően lehetősége nyílik a kapcsolat során átadott adatok olvasására és módosítására. A többi biztonsági résről itt találsz további részleteket. Egyéb technikai jellegű kérdéseidet a Stack Overflow webhelyen, az „android-security” és „OpenSSL” címkék használatával teheted fel.

Bár ezek a problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely az OpenSSL 1.0.2f/1.0.1r előtti verzióinak valamelyikét használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. A biztonsági réseket tartalmazó, és ezzel a felhasználókat támadások kockázatának kitevő alkalmazásokat olyan termékeknek tekinthetjük, amelyek sértik a rosszindulatú viselkedéssel kapcsolatos irányelveinket, illetve a Fejlesztői terjesztési megállapodás 4.4. szakaszát.

Alkalmazásaid közzététele előtt bizonyosodj meg arról, hogy megfelelnek a Fejlesztői terjesztési megállapodásnak és a tartalmi irányelveknek

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.