我在Google Play中为我的应用程序使用Vitamio 5.0.0版本。今天我从谷歌收到一封邮件。它说" Google Play警告:您正在使用易受攻击的OpenSSL版本"
Hello Google Play Hello,
此电子邮件末尾列出的您的应用使用的版本为 包含一个或多个安全漏洞的OpenSSL。如果你 您的帐户中有超过20个受影响的应用,请检查 开发者控制台获取完整列表。
请尽快将您的应用迁移到OpenSSL 1.02f / 1.01r或更高版本 可以增加升级版APK的版本号。 从2016年7月11日开始,Google Play将阻止发布任何新内容 使用旧版OpenSSL的应用程序或更新。如果你正在使用 捆绑OpenSSL的第三方库,您需要将其升级为 捆绑OpenSSL 1.02f / 1.01r或更高版本的版本。
漏洞已在OpenSSL 1.02f / 1.01r中得到解决。最新的 可以在这里下载OpenSSL的版本。确认您的OpenSSL 版本,你可以进行grep搜索($ unzip -p YourApp.apk | 字符串| grep" OpenSSL")。
要确认您已正确升级,请将更新后的版本提交至 开发人员控制台并在五小时后再回来查看。如果应用程序 如果没有正确升级,我们会显示警告。
漏洞包括" logjam"和CVE-2015-3194。 Logjam 攻击允许中间人攻击者降级易受攻击的TLS 连接到512位导出级加密。这允许 攻击者读取和修改通过连接传递的任何数据。 有关其他漏洞的详细信息,请参见此处。对于其他 技术问题,您可以发布到Stack Overflow并使用标签 “android-security”和“OpenSSL。”
虽然这些特定问题可能不会影响每个使用的应用 OpenSSL,最好保持所有安全补丁的最新状态。应用 漏洞可能会使用户面临妥协的风险 被视为违反了我们的恶意行为政策和部分 4.4开发者分发协议。
应用程序还必须遵守开发者分发协议和 开发者计划政策。如果你觉得我们已经发出了这个警告 错误,请通过Google Play与我们的政策支持小组联系 开发者帮助中心。
此致
Google Play团队