Ове информације су намењене програмерима апликација које се статички повезују са верзијама OpenSSL-а које претходе верзији 1.0.2f/1.0.1r. Те верзије садрже безбедносне пропусте. Што пре пренесите апликације на OpenSSL 1.0.2f/1.0.1r или новију верзију и повећајте број верзије надограђеног APK-а.
Шта се дешава
Од 11. јула 2016. Google Play је почео да блокира објављивање свих нових апликација или ажурирања који користе старије верзије OpenSSL-а. Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.
Треба да реагујете
- Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
- Пренесите апликацију на OpenSSL 1.0.2f/1.0.1r или новију верзију и повећајте број верзије.
- Пошаљите ажуриране верзије апликација на које се ово односи.
Додатне информације
Пропусти су отклоњени у OpenSSL-у 1.0.2f/1.0.1r. Најновију верзију OpenSSL-а можете да преузмете овде. Да бисте проверили коју верзију OpenSSL-а користите, обавите grep претрагу за ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Ако користите библиотеку независног произвођача која садржи OpenSSL, треба да је надоградите на верзију која садржи OpenSSL 1.0.2f/1.0.1r или новију верзију.
Пропусти обухватају „logjam“ и CVE-2015-3194. Logjam напад омогућава нападачу-посреднику да врати TLS везе са пропустима на 512-битну криптографију за извоз. Тада нападач може да чита и мења све податке који се шаљу преко те везе. Детаље о другим пропустима потражите овде. Ако имате других техничких питања, поставите их на Stack Overflow-у помоћу ознака „android-security“ и „OpenSSL“.
Иако ови проблеми неће утицати на све апликације које користе верзије OpenSSL-а пре верзије 1.0.2f/1.0.1r, најбоље је да благовремено примењујете све безбедносне закрпе. Сматра се да апликације са пропустима које кориснике излажу ризику да им садржај буде угрожен крше смернице у вези са злонамерним понашањем и одељак 4.4 Уговора о дистрибуцији за програмере.
Пре него што објавите апликације, уверите се да су у складу са Уговором о дистрибуцији за програмере и Смерницама за садржај.
Ту смо да помогнемо
Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте разјаснили кораке које треба да предузмете да бисте решили овај проблем, можете да контактирате тим подршке за програмере.