Google アプリ
メインメニュー

アプリの OpenSSL の脆弱性への対処方法

この情報は、OpenSSL の 1.02f/1.01r より前のバージョンに対して静的にリンクしているアプリのデベロッパーを対象としています。これらのバージョンにはセキュリティの脆弱性が含まれています。

できる限り早急にアプリを OpenSSL 1.02f/1.01r 以降のバージョンに移行し、アップグレード後の APK のバージョン番号を増分するようお願いいたします。2016 年 7 月 11 日以降、Google Play では、以前のバージョンの OpenSSL を使用するすべての新規アプリおよびアップデートの公開がブロックされます。公開済みのアプリのバージョンは影響を受けませんが、この脆弱性に対応しない限り、アプリのアップデートはブロックされます。

次の手順:

  1. アプリを OpenSSL 1.02f/1.01r 以降のバージョンに移行し、バージョン番号を増分します。
  2. Developer Console にログインし、アプリの更新版を送信します。
  3. 5 時間後にもう一度確認してください。アプリが正しく更新されていない場合は、警告メッセージが表示されます。

脆弱性は OpenSSL 1.02f/1.01r で解決しています。最新バージョンの OpenSSL はこちらからダウンロードできます。お使いの OpenSSL のバージョンを確認するには($ unzip -p YourApp.apk | strings | grep "OpenSSL")と grep 検索します。

OpenSSL をバンドルするサードパーティのライブラリを使用している場合、OpenSSL 1.02f/1.01r 以降をバンドルするバージョンにアップグレードする必要があります。

脆弱性には「Logjam」と CVE-2015-3194 が含まれます。Logjam 攻撃では、中間者攻撃により脆弱な TLS 接続を輸出グレードの 512 ビット暗号にダウングレードできてしまいます。その結果、攻撃者は通信上でやり取りされるあらゆるデータの読み取りや変更ができるようになります。その他の脆弱性について詳しくは、こちらをご覧ください。この他の技術的な不明点については、Stack Overflow にタグ「android-security」および「OpenSSL」を使用してご投稿ください。

この問題は、バージョン 1.02f/1.01r より前の OpenSSL を使用するすべてのアプリに必ずしも影響するわけではありませんが、常に最新のセキュリティ パッチを適用することをおすすめします。セキュリティ侵害の危険がある脆弱性を含むアプリは、悪意のある行為に関するポリシーと、デベロッパー販売 / 配布契約の第 4.4 項に違反すると判断される場合があります。

アプリを公開する前には、そのアプリがデベロッパー販売 / 配布契約コンテンツ ポリシーに準拠していることをご確認ください。OpenSSL に関する警告が誤って届いたとお考えの場合は、Google Play デベロッパー ヘルプセンターからサポートチームまでお問い合わせください。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。