Queste informazioni sono rivolte agli sviluppatori di app che si collegano in modo statico a una versione di OpenSSL precedente alla versione 1.0.2f/1.0.1r. Queste versioni contengono infatti vulnerabilità di sicurezza. Esegui la migrazione delle tue app su OpenSSL 1.0.2f/1.0.1r o versioni successive il prima possibile e incrementa il numero della versione dell'APK aggiornato.
Situazione attuale
A partire dall'11 luglio 2016, Google Play impedirà la pubblicazione di nuove app o aggiornamenti che utilizzano versioni di OpenSSL precedenti. Consulta la notifica sulla Play Console. Passate le scadenze visualizzate nella Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Esegui la migrazione dell'app a OpenSSL 1.0.2f/1.0.1r o versioni successive e incrementa il numero della versione.
- Invia le versioni aggiornate delle tue app coinvolte.
Ulteriori dettagli
Le vulnerabilità sono state risolte in OpenSSL 1.0.2f/1.0.1r. Le ultime versioni di OpenSSL possono essere scaricate da questo indirizzo. Per controllare la versione di OpenSSL che hai installato, puoi eseguire una ricerca grep relativa alla stringa ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Se utilizzi una libreria di terze parti che comprende OpenSSL, dovrai eseguire l'upgrade a una versione contenente OpenSSL 1.0.2f/1.0.1r o versioni successive.
Le vulnerabilità includono "logjam" e CVE-2015-3194. L'attacco Logjam permette all'autore di un attacco man-in-the-middle di eseguire il downgrade di connessioni TLS vulnerabili alla crittografia export-grade a 512 bit. Ciò permette al malintenzionato di leggere e modificare tutti i dati trasmessi attraverso la connessione. Puoi leggere dettagli su altre vulnerabilità a questo indirizzo. Puoi pubblicare altre domande tecniche su Stack Overflow utilizzando i tag "android-security" e "OpenSSL".
Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza versioni di OpenSSL precedenti alla 1.0.2f/1.0.1r, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app con vulnerabilità che mettono a rischio la sicurezza degli utenti potrebbero essere considerate in violazione delle nostre norme relative al comportamento dannoso e della sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Prima di pubblicare app, assicurati che siano conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.