Ця інформація призначена для розробників додатків, які статично пов’язуються з версіями OpenSSL до 1.0.2f/1.0.1r. Ці версії містять уразливі елементи. Якнайшвидше перейдіть на OpenSSL 1.0.2f/1.0.1r або новішої версії та змініть номер версії оновлених файлів .apk.
Що нового
З 11 липня 2016 року в Google Play не публікуються додатки й оновлення, розроблені в старіших версіях OpenSSL. Ознайомтеся зі сповіщенням у Play Console. Після кінцевих термінів, указаних у Play Console, ми можемо видаляти додатки з уразливими елементами з Google Play.
Потрібна дія
- Увійдіть в обліковий запис Play Console і перейдіть у розділ "Сповіщення", щоб переглянути, у яких додатках є проблеми та доки їх потрібно вирішити.
- Перейдіть на OpenSSL 1.0.2f/1.0.1r або новішої версії та змініть номер версії.
- Надішліть оновлені версії цих додатків.
Додаткова інформація
Уразливі місця виправлено в OpenSSL 1.0.2f/1.0.1r. Останні версії OpenSSL можна завантажити тут. Щоб перевірити свою версію OpenSSL, виконайте таку команду: $ unzip -p VashDodatok.apk | strings | grep "OpenSSL".
Якщо ви користуєтеся сторонньою бібліотекою, у яку входить OpenSSL, оновіть її, щоб вона містила OpenSSL 1.0.2f/1.0.1r або новішої версії.
До вразливих елементів належать logjam і CVE-2015-3194. Під час атаки Logjam зловмисник може понизити шифрування TLS до використання 512-бітних ключів. Таким чином, зловмисник може переглядати та змінювати будь-які дані, які передаються через з’єднання. Інформацію про інші вразливі елементи можна переглянути тут. Якщо у вас є інші технічні запитання, опублікуйте їх на сторінці Stack Overflow з тегами android-security й OpenSSL.
Хоча ці проблеми виникають не в усіх додатках, розроблених у версіях OpenSSL до 1.0.2f/1.0.1r, радимо завжди встановлювати найновіші виправлення системи безпеки. Уразливі додатки, які погано захищають дані користувачів, можуть порушувати нашу Політику щодо шкідливих функцій і розділ 4.4 Договору розробника про розповсюдження.
Перш ніж публікувати додаток, переконайтеся, що він відповідає положенням Договору розробника про розповсюдження та Політики щодо вмісту.
Ми завжди раді допомогти
Якщо у вас є інші технічні запитання про вразливості, опублікуйте їх на сайті Stack Overflow з тегом android-security. Щоб дізнатися більше про дії для вирішення цієї проблеми, зв’яжіться зі службою підтримки розробників.