如何修正應用程式中的 OpenSSL 安全性漏洞

開發人員請注意,如果您的應用程式靜態連結至 OpenSSL 1.0.2f/1.0.1r 以下版本,請詳閱本文資訊,因為這些版本存在安全性漏洞。請儘快將您的應用程式升級至 OpenSSL 1.0.2f/1.0.1r 以上版本,並依照累加原則為升級的 APK 設定版本號碼。

問題說明

自 2016 年 7 月 11 日起,只要新的應用程式或更新內容使用了舊版 OpenSSL,一律禁止在 Google Play 發布。請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

需採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 將您的應用程式升級至 OpenSSL 1.0.2f/1.0.1r 以上版本,並增加版本號碼。
  3. 提交受影響應用程式的更新版本。

其他詳細資訊

OpenSSL 1.0.2f/1.0.1r 版本已修正這些安全性漏洞。您可以在這裡下載最新版的 OpenSSL。如要確認您的 OpenSSL 版本,可透過 grep 指令搜尋:$ unzip -p YourApp.apk | strings | grep "OpenSSL"。

如果您使用的第三方程式庫包含 OpenSSL,請升級至包含 OpenSSL 1.0.2f/1.0.1r 以上版本的程式庫。

這些安全性漏洞包括「logjam」和 CVE-2015-3194。攔截式攻擊者可藉由 Logjam 攻擊將有安全性漏洞的 TLS 連線降級至 512 位元出口級加密。如此一來,攻擊者便可讀取及修改任何透過這個連線傳輸的資料。如需其他安全性漏洞的詳細資料,請參閱這篇說明。如有其他技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」和「OpenSSL」標記。

雖然這些問題不一定會對所有使用 OpenSSL 1.0.2f/1.0.1r 以下版本的應用程式造成影響,我們仍建議您安裝所有最新的安全性修補程式。如果應用程式有安全性漏洞,導致使用者的資料有外洩之虞,我們就可能將該應用程式視為違反惡意行為政策和《開發人員發布協議》第 4.4 條。

發布應用程式前,請確認應用程式符合《開發人員發布協議》和《內容政策》的規定。

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?