วิธีแก้ไขช่องโหว่ OpenSSL ในแอป

ข้อมูลนี้มีไว้สำหรับนักพัฒนาแอปที่มีการเชื่อมโยงกับ OpenSSL เวอร์ชันก่อน 1.0.2f/1.0.1r อย่างตายตัว  เวอร์ชันเหล่านี้มีช่องโหว่เรื่องความปลอดภัย โปรดย้ายแอปของคุณไปใช้ OpenSSL 1.0.2f/1.0.1r ขึ้นไปโดยเร็วที่สุด และเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรด

สิ่งที่จะเกิดขึ้น

ตั้งแต่วันที่ 11 กรกฎาคม 2016 Google Play ได้เริ่มบล็อกการเผยแพร่แอปใหม่ๆ หรืออัปเดตที่ใช้ OpenSSL เวอร์ชันเก่า โปรดอ่านประกาศใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่ได้รับการแก้ไขออกจาก Google Play หลังพ้นกำหนดเวลาที่แสดงใน Play Console

สิ่งที่ต้องดำเนินการ

  1. ลงชื่อเข้าใช้ Play Console และไปที่ส่วนการแจ้งเตือนเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
  2. ย้ายแอปไปใช้ OpenSSL 1.0.2f/1.0.1r ขึ้นไปและเพิ่มหมายเลขเวอร์ชัน
  3. ส่งเวอร์ชันอัปเดตของแอปที่ได้รับผลกระทบ

รายละเอียดเพิ่มเติม

ช่องโหว่ได้รับการแก้ไขแล้วใน OpenSSL 1.0.2f/1.0.1r ดาวน์โหลด OpenSSL เวอร์ชันล่าสุดได้ที่นี่ และยืนยันเวอร์ชัน OpenSSL ของคุณโดยใช้คำสั่ง Grep ในการค้นหาดังนี้ ($ unzip -p YourApp.apk | strings | grep "OpenSSL")

หากกำลังใช้ไลบรารีของบุคคลที่สามที่มากับ OpenSSL คุณจะต้องอัปเกรดเป็นเวอร์ชันที่มากับ OpenSSL 1.0.2f/1.0.1r ขึ้นไป

ช่องโหว่ข้างต้นรวมถึง "logjam" และ CVE-2015-3194 การโจมตี Logjam ช่วยให้ผู้โจมตีแบบแทรกกลางการสื่อสารสามารถดาวน์เกรดการเชื่อมต่อ TLS ที่มีช่องโหว่ไปเป็นการเข้ารหัส 512 บิตที่สามารถถอดได้ง่าย ซึ่งจะช่วยให้ผู้โจมตีอ่านและแก้ไขข้อมูลใดๆ ที่ส่งผ่านการเชื่อมต่อนั้นได้ สำหรับรายละเอียดเกี่ยวกับช่องโหว่อื่นๆ สามารถดูได้ที่นี่ หากมีคำถามอื่นๆ ทางเทคนิค คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” และ “OpenSSL”

แม้ว่าปัญหาเหล่านี้อาจไม่ส่งผลต่อทุกๆ แอปที่ใช้ OpenSSL เวอร์ชันก่อน 1.0.2f/1.0.1r แต่คุณควรอัปเดตแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ แอปที่มีช่องโหว่ที่ทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีอาจได้รับการพิจารณาว่าละเมิดนโยบายพฤติกรรมที่เป็นอันตรายของเรา และส่วนที่ 4.4 ของข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์

ก่อนเผยแพร่แอป โปรดตรวจสอบว่าแอปมีคุณสมบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา 

เราพร้อมช่วยเหลือคุณ

หากมีคำถามทางเทคนิคเกี่ยวกับช่องโหว่ คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” หากต้องการคำชี้แจงเกี่ยวกับขั้นตอนที่ต้องดำเนินการเพื่อแก้ไขปัญหานี้ โปรดติดต่อทีมสนับสนุนนักพัฒนาซอฟต์แวร์

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร