Deze informatie is bedoeld voor ontwikkelaars van apps die statische links bevatten naar een eerdere versie van OpenSSL dan 1.0.2f/1.0.1r. Deze versies bevatten beveiligingsproblemen. Migreer uw app(s) zo snel mogelijk naar OpenSSL 1.0.2f/1.0.1r of hoger en verhoog het versienummer van de geüpgradede APK.
Wat er gebeurt
Sinds 11 juli 2016 blokkeert Google Play de publicatie van nieuwe apps of updates die oudere versies van OpenSSL gebruiken. Bekijk de melding in uw Play Console.Na de deadlines die worden weergegeven in uw Play Console, worden apps met niet-opgeloste beveiligingsproblemen verwijderd uit Google Play.
Actie vereist
- Log in bij de Play Console en navigeer naar het gedeelte Meldingen om te zien welke apps het betreft en wat de deadlines zijn om deze problemen op te lossen.
- Migreer uw app naar OpenSSL 1.0.2f/1.0.1r of hoger en verhoog het versienummer.
- Dien de geüpdatete versies van de betreffende apps in.
Aanvullende details
De beveiligingsproblemen zijn verholpen in OpenSSL 1.0.2f/1.0.1r. De nieuwste versies van OpenSSL kunnen hier worden gedownload. Als u uw OpenSSL-versie wilt controleren, kunt u een grep-zoekopdracht naar ($ unzip -p UwApp.apk | strings | grep "OpenSSL") uitvoeren.
Als u een bibliotheek van derden gebruikt die OpenSSL bevat, moet u upgraden naar een versie met OpenSSL 1.0.2f/1.0.1r of hoger.
De beveiligingsproblemen omvatten 'logjam' en CVE-2015-3194. Met een Logjam-aanval kan een man-in-the-middle-aanvaller kwetsbare TLS-verbindingen downgraden naar 512-bits cryptografie op exportniveau. Hiermee kan de hacker de gegevens die via de verbinding zijn verzonden, lezen en aanpassen. Details over andere beveiligingsproblemen zijn hier beschikbaar. Voor andere technische vragen kunt u een bericht posten op Stack Overflow en gebruikt u hierbij de tags 'android-security' en 'OpenSSL'.
Hoewel deze problemen mogelijk niet van invloed zijn op elke app waarvoor eerdere versies van OpenSSL dan 1.0.2f/1.0.1r wordt gebruikt, is het goed om altijd de nieuwste beveiligingspatches te implementeren. Apps met beveiligingsproblemen waardoor gebruikers kunnen worden blootgesteld aan hackers, worden beschouwd als in strijd met ons beleid ten aanzien van schadelijk gedrag en sectie 4.4 van de distributieovereenkomst voor ontwikkelaars.
Voordat u apps publiceert, moet u controleren of ze voldoen aan de distributieovereenkomst voor ontwikkelaars en het contentbeleid.
We helpen u graag
Als u technische vragen over de kwetsbaarheid heeft, kunt u een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons supportteam voor ontwikkelaars voor meer informatie over de stappen die u moet uitvoeren om dit probleem op te lossen.