Thông tin này dành cho nhà phát triển ứng dụng sử dụng liên kết tĩnh đến một phiên bản của OpenSSL trước 1.0.2f/1.0.1r. Những phiên bản chứa lỗ hổng bảo mật. Vui lòng di chuyển (các) ứng dụng của bạn sang phiên bản OpenSSL 1.0.2f/1.0.1r hoặc cao hơn sớm nhất có thể và sử dụng APK nâng cấp có số phiên bản cao hơn.
Chuyện gì sẽ xảy ra
Kể từ ngày 11 tháng 7 năm 2016, Google Play đã chặn xuất bản mọi ứng dụng hoặc bản cập nhật mới sử dụng các phiên bản cũ hơn của OpenSSL. Vui lòng tham khảo thông báo trên Play Console của bạn.Sau thời hạn hiển thị trong Play Console, chúng tôi có thể xóa mọi ứng dụng có lỗ hổng bảo mật chưa được khắc phục khỏi Google Play.
Hành động cần thiết
- Đăng nhập vào Play Console và chuyển đến phần Cảnh báo để xem những ứng dụng bị ảnh hưởng và thời hạn giải quyết những vấn đề này.
- Di chuyển ứng dụng của bạn sang OpenSSL 1.0.2f/1.0.1r trở lên và tăng số phiên bản.
- Gửi phiên bản cập nhật của các ứng dụng bị ảnh hưởng.
Thông tin chi tiết bổ sung
Các lỗ hổng đã được khắc phục trong phiên bản OpenSSL 1.0.2f/1.0.1r. Bạn có thể tải các phiên bản mới nhất của OpenSSL xuống tại đây. Để xác nhận phiên bản OpenSSL của mình, bạn có thể thực hiện phép tìm kiếm grep đối với ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Nếu đang sử dụng thư viện của bên thứ ba có bao gồm OpenSSL thì bạn cần nâng cấp thư viện đó lên phiên bản bao gồm OpenSSL 1.0.2f/1.0.1r trở lên.
Các lỗ hổng bao gồm "logjam" và CVE-2015-3194. Tấn công Logjam cho phép kẻ tấn công trung gian hạ cấp kết nối TLS có lỗ hổng xuống mã hóa export-grade 512-bit. Điều này cho phép kẻ tấn công đọc và sửa đổi bất kỳ dữ liệu nào đi qua kết nối. Thông tin chi tiết về các lỗ hổng khác có sẵn ở đây. Đối với các câu hỏi kỹ thuật khác, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security” và “OpenSSL."
Dù các sự cố này có thể không ảnh hưởng đến mọi ứng dụng sử dụng các phiên bản OpenSSL trước 1.0.2f/1.0.1r, tốt nhất là bạn nên luôn cập nhật tất cả bản vá bảo mật. Ứng dụng có lỗ hổng bảo mật khiến người dùng có nguy cơ bị xâm phạm có thể bị xem là vi phạm chính sách về Hành vi nguy hiểm của chúng tôi và mục 4.4 trong Thỏa thuận phân phối dành cho nhà phát triển.
Trước khi xuất bản ứng dụng, vui lòng đảm bảo các ứng dụng đó tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung.
Chúng tôi sẵn sàng trợ giúp
Nếu có câu hỏi kỹ thuật về lỗ hổng bảo mật, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Để biết rõ các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ nhà phát triển của chúng tôi.