Ši informacija skirta programų, kuriose statiškai susieta ankstesnės nei 1.0.2f / 1.0.1r. versijos „OpenSSL“, kūrėjams. Šiose versijose yra saugos pažeidimų. Kuo greičiau atnaujinkite programą (-as) į „OpenSSL“ 1.0.2f / 1.0.1r ar naujesnę versiją ir padidinkite naujovinto APK versijos numerį.
Kas vyksta
Nuo 2016 m. liepos 11 d. „Google Play“ pradėjo blokuoti skelbiamas naujas programas ar naujinius, kuriuose naudojamos senesnės „OpenSSL“ versijos. Žr. pranešimą sistemoje „Play Console“. Praėjus „Play Console“ nurodytiems terminams, programos, kuriose yra nepataisytų saugos pažeidimų, gali būti pašalintos iš „Google Play“.
Būtini veiksmai
- Prisijunkite prie „Play Console“ ir nuėję į skiltį „Įspėjimai“ peržiūrėkite, kurios programos yra paveiktos ir iki kada reikia išspręsti šias problemas.
- Programose pradėkite naudoti 1.0.2f / 1.0.1r arba naujesnės versijos „OpenSSL“ ir padidinkite versijos numerį.
- Pateikite atnaujintas paveiktų programų versijas.
Papildoma informacija
Pažeidimų problemos ištaisytos 1.0.2f / 1.0.1r versijos „OpenSSL“. Naujausios versijos „OpenSSL“ galima atsisiųsti čia. Kad patvirtintumėte „OpenSSL“ versiją, galite atlikti „grep“ paiešką: ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Jei naudojate trečiosios šalies biblioteką, kurioje naudojama „OpenSSL“, turėsite naujovinti biblioteką į versiją, kurioje naudojama 1.0.2f / 1.0.1r arba naujesnės versijos „OpenSSL“.
Pažeidimai apima „logjam“ ir CVE-2015-3194. Dėl „Logjam“ užpuolėjas naudodamas duomenų nuskaitymo ataką gali grąžinti pažeidžiamų TLS ryšių versiją į 512 bitų eksportavimo lygio kriptografiją. Taip užpuolėjas gali nuskaityti ir pakeisti ryšiu perduodamus duomenis. Išsami informacija apie pažeidimus pasiekiama čia. Jei kyla kitų techninių klausimų, juos galite paskelbti sistemoje „Stack Overflow“ naudodami žymas „android-security“ ir „OpenSSL“.
Šios problemos gali neturėti įtakos kiekvienai programai, kurioje naudojamos senesnės nei 1.0.2f / 1.0.1r versijos „OpenSSL“, tačiau geriausia įdiegti visas naujausias saugos pataisas. Pažeistos programos, kurios kelia grėsmę naudotojų saugai, gali pažeisti kenkėjiškos elgsenos politikos ir 4.4 Kūrėjų platinimo sutarties skilties nuostatas.
Prieš paskelbdami programas, įsitikinkite, kad jos atitinka Kūrėjų platinimo sutarties ir turinio politikos nuostatas.
Esame pasirengę padėti
Jei kyla su pažeidimais susijusių techninių klausimų, galite juos paskelbti „Stack Overflow“ ir naudoti žymą „android-security“. Jei reikia daugiau informacijos apie veiksmus, kuriuos turite atlikti, kad išspręstumėte šią problemą, galite susisiekti su mūsų kūrėjų palaikymo komanda.