Я использую версию Vitamio 5.0.0 для своего приложения в Google Play. Сегодня я получил письмо от Google. он говорит: «Предупреждение Google Play: вы используете уязвимую версию OpenSSL».
Здравствуйте, разработчик Google Play!
Ваши приложения, перечисленные в конце этого письма, используют версию OpenSSL, содержащую одну или несколько уязвимостей безопасности. Если в вашей учетной записи более 20 затронутых приложений, просмотрите полный список в консоли разработчика.
Как можно скорее перенесите свои приложения на OpenSSL 1.02f/1.01r или выше и увеличьте номер версии обновленного APK. Начиная с 11 июля 2016 г. Google Play будет блокировать публикацию любых новых приложений или обновлений, использующих старые версии OpenSSL. Если вы используете стороннюю библиотеку, включающую OpenSSL, вам необходимо обновить ее до версии, включающей OpenSSL 1.02f/1.01r или выше.
Уязвимости устранены в OpenSSL 1.02f/1.01r. Последние версии OpenSSL можно скачать здесь. Чтобы подтвердить свою версию OpenSSL, вы можете выполнить поиск в grep по запросу ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Чтобы подтвердить правильность обновления, отправьте обновленную версию в консоль разработчика и проверьте ее через пять часов. Если приложение не было правильно обновлено, мы покажем предупреждение.
Уязвимости включают «затор» и CVE-2015-3194. Атака Logjam позволяет злоумышленнику «человек посередине» понизить рейтинг уязвимых соединений TLS до 512-битной криптографии экспортного уровня. Это позволяет злоумышленнику читать и изменять любые данные, передаваемые по соединению. Подробности о других уязвимостях доступны здесь. По другим техническим вопросам вы можете опубликовать сообщение в Stack Overflow и использовать теги «android-security» и «OpenSSL».
Хотя эти конкретные проблемы могут не затрагивать каждое приложение, использующее OpenSSL, лучше всего получать последние обновления для всех исправлений безопасности. Приложения с уязвимостями, которые подвергают пользователей риску компрометации, могут рассматриваться как нарушающие нашу политику в отношении злонамеренного поведения и раздел 4.4 Соглашения о распространении для разработчиков.
Приложения также должны соответствовать Соглашению о распространении для разработчиков и Политикам программы для разработчиков. Если вы считаете, что мы отправили это предупреждение по ошибке, свяжитесь с нашей службой поддержки политики через Справочный центр для разработчиков Google Play.
С уважением,
Команда Google Play
