Como lidar com as vulnerabilidades do OpenSSL nos seus apps

Estas informações destinam-se a desenvolvedores de apps estaticamente ligados a uma versão do OpenSSL anterior a 1.0.2f/1.0.1r.  Essas versões têm vulnerabilidades de segurança. Faça a migração dos seus apps para o OpenSSL 1.0.2f/1.0.1r ou posterior assim que possível e aumente o número da versão do APK atualizado.

O que está acontecendo

A partir de 11 de julho de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações que usam versões mais antigas do OpenSSL. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Migre seu app para o OpenSSL 1.0.2f/1.0.1r ou posterior e aumente o número da versão.
  3. Envie as versões atualizadas dos apps afetados.

Detalhes adicionais

As vulnerabilidades foram corrigidas no OpenSSL 1.0.2f/1.0.1r. Faça o download das versões mais recentes do OpenSSL. Para confirmar sua versão do OpenSSL, use o comando grep em ($ unzip -p YourApp.apk | strings | grep "OpenSSL").

Se você usar uma biblioteca de terceiros que inclui o OpenSSL, será preciso fazer upgrade para uma versão que inclua o OpenSSL 1.0.2f/1.0.1r ou posterior.

As vulnerabilidades incluem logjamCVE-2015-3194. O ataque "logjam" permite ataques man-in-the-middle, em que um invasor faz downgrade de conexões TLS vulneráveis para a criptografia de nível de exportação de 512 bits. Isso permite que o invasor leia e modifique qualquer dado transmitido por meio da conexão. Veja mais detalhes sobre outras vulnerabilidades. Para outras questões técnicas, poste no site Stack Overflow (página em inglês) e use as tags "android-security" e "OpenSSL".

Mesmo que esses problemas específicos não afetem todos os apps que usam o OpenSSL nas versões anteriores às 1.0.2f/1.0.1r, é recomendável ter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos que violam a política de Comportamento malicioso e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Antes de publicar seus apps, verifique se eles estão em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?