Как устранить уязвимости OpenSSL в приложении

Эта статья предназначена для разработчиков приложений, в которых используются статические ссылки на устаревшие версии OpenSSL (т. е. выпущенные до версии 1.0.2f/1.0.1r). В системе безопасности этих версий есть уязвимости. Мы советуем как можно скорее перевести свои приложения на OpenSSL 1.0.2f/1.0.1r или более поздней версии и обновить номера версий APK-файлов.

Что происходит

С 11 июля 2016 года в Google Play блокируется публикация приложений и обновлений, использующих устаревшие версии OpenSSL. Мы отправили вам уведомление в Play Console, где указан срок, в течение которого нужно устранить эти проблемы, иначе такие приложения могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Перенесите приложение на OpenSSL 1.0.2f/1.0.1r или более поздней версии и укажите новый номер версии.
  3. Опубликуйте обновленные версии приложений.

Сведения об уязвимости

В OpenSSL 1.0.2f/1.0.1r уязвимости были устранены. Скачать одну из последних версий пакета можно здесь. Чтобы узнать, какую версию вы используете, выполните поиск выражения ($ unzip -p nazvanie-prilozheniya.apk | strings | grep "OpenSSL") с помощью команды grep.

Если вы используете библиотеку стороннего разработчика, включающую OpenSSL, обновите ее до версии с OpenSSL 1.0.2f/1.0.1r или более поздней.

Уязвимости, о которых идет речь: logjam и CVE-2015-3194. Logjam – это атака посредника, понижающая уровень шифрования TLS-соединения до экспортного с длиной ключа 512 бит. Она позволяет злоумышленникам считывать и изменять данные, передаваемые посредством этого соединения. Ознакомьтесь также с подробной информацией о других уязвимостях. Если у вас есть вопросы, вы можете задать их на сайте Stack Overflow (используйте теги android-security и OpenSSL).

Эти уязвимости есть не во всех приложениях, где применяются устаревшие версии OpenSSL, однако в целях безопасности мы рекомендуем использовать версию 1.0.2f/1.0.1r или более позднюю. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Кроме того, такие приложения нарушают раздел 4.4 Соглашения о распространении программных продуктов.

Прежде чем публиковать приложение, убедитесь, что оно соответствует условиям Соглашения о распространении программных продуктов и Правилам в отношении контента

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?