Den här informationen riktar sig till utvecklare vars appar är statiskt länkade mot en version av OpenSSL som är äldre än 1.0.2f/1.0.1r. Det finns säkerhetsbrister i dessa versioner. Migrera dina appar till OpenSSL 1.0.2f/1.0.1r eller senare så snart som möjligt och öka versionsnumret för den uppgraderade APK-filen.
Detta händer
Sedan den 11 juli 2016 har publiceringen av nya appar eller uppdateringar som använder äldre versioner av OpenSSL blockerats på Google Play. Läs mer i meddelandet i Play Console. Alla appar där säkerhetsbristen inte har åtgärdats tas bort från Google Play efter det datum som anges i Play Console.
Åtgärd som krävs
- Logga in på Play Console och öppna avsnittet Varningar. Där ser du vilka appar som berörs av problemet och vilket datum det måste vara åtgärdat.
- Migrera appen till OpenSSL 1.0.2f/1.0.1r eller senare och öka versionsnumret.
- Skicka in uppdaterade versioner av de berörda apparna.
Ytterligare information
Säkerhetsbristerna åtgärdades i OpenSSL 1.0.2f/1.0.1r. De senaste versionerna av OpenSSL kan laddas ner här. Du kan kontrollera vilken version av OpenSSL du har genom att göra en grep-sökning efter ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Om du använder ett bibliotek från tredje part där OpenSSL ingår måste du uppgradera till en version som innehåller OpenSSL 1.0.2f/1.0.1r eller senare.
Bristerna inbegriper logjam och CVE-2015-3194. Logjam-attacken gör att en man-i-mitten-angripare kan nedgradera sårbara TLS-anslutningar till 512-bitars exportkryptografi. Då kan angriparen läsa och ändra all data som skickas via anslutningen. Information om andra sårbarheter finns här. Om du har andra tekniska frågor kan du ställa dem på Stack Overflow. Använd taggarna android-security och OpenSSL.
Även om problemet inte påverkar alla appar som använder äldre versioner än 1.0.2f/1.0.1r av OpenSSL är det alltid bäst att se till att säkerhetskorrigeringar införs. Appar med säkerhetsbrister som utgör en risk för användarna kan betraktas som en överträdelse av policyn mot skadligt beteende och avsnitt 4.4 i distributionsavtalet för utvecklare.
Kontrollera alltid att dina appar följer distributionsavtalet för utvecklare och innehållspolicyn innan du publicerar dem.
Vi hjälper dig gärna
Om du har tekniska frågor som handlar om säkerhetsbristen kan du ställa dem på Stack Overflow. Använd taggen android-security. Om du behöver mer information om hur du åtgärdar problemet kontaktar du vårt supportteam för utvecklare.