本文面向的是发布的应用存在以下情况的开发者:静态链接到低于 1.0.2f/1.0.1r 的 OpenSSL 版本。低于上述版本的 OpenSSL 存在安全漏洞。请尽快将您的应用迁移到 OpenSSL 1.0.2f/1.0.1r 或更高版本,并增加升级版 APK 的版本号。
问题说明
从 2016 年 7 月 11 日起,Google Play 开始禁止发布任何使用旧版 OpenSSL 的新应用或应用更新。请参阅 Play 管理中心内的通知。在 Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。
需要采取的行动
- 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
- 将您的应用迁移到 OpenSSL 1.0.2f/1.0.1r 或更高版本,并相应增加版本号。
- 提交受影响应用的更新版本。
更多详细信息
此类漏洞在 OpenSSL 1.0.2f/1.0.1r 中已得到修复。点击此处即可下载最新版 OpenSSL。如需确认您的 OpenSSL 版本,您可以执行 grep 搜索命令 ($ unzip -p YourApp.apk | strings | grep "OpenSSL")。
如果是您使用的第三方库捆绑了 OpenSSL,则需要将其升级到捆绑 OpenSSL 1.0.2f/1.0.1r 或更高版本的版本。
此类漏洞包括“logjam”和 CVE-2015-3194。中间人攻击者可通过 Logjam 攻击将有漏洞的 TLS 连接降级为 512 位出口级加密。这样攻击者就能读取和修改通过此连接传输的任何数据。如需关于其他漏洞的详细信息,请点击此处。如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”和“OpenSSL”标签)。
尽管这些问题并非一定会影响使用低于 1.0.2f/1.0.1r 的 OpenSSL 版本的所有应用,但我们仍建议您安装所有最新的安全补丁。如果应用存在会让用户面临被入侵风险的漏洞,那么我们可能会将其视为违反恶意行为政策和《开发者分发协议》第 4.4 条的相关规定。
在发布应用前,请先确保应用符合开发者分发协议和内容政策的规定。
我们随时为您提供帮助
如果您针对此漏洞有技术方面的问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。