Я использую версию Vitamio 5.0.0 для своего приложения в Google Play. Сегодня я получил письмо от Google. в нем написано «Предупреждение Google Play: вы используете уязвимую версию OpenSSL»

Здравствуйте, разработчик Google Play,

Ваши приложения, перечисленные в конце этого электронного письма, используют версию OpenSSL, которая содержит одну или несколько уязвимостей безопасности. Если в вашей учетной записи более 20 уязвимых приложений, проверьте полный список в консоли разработчика.

Пожалуйста, как можно скорее перенесите ваши приложения на OpenSSL 1.02f / 1.01r или выше и увеличьте номер версии обновленного APK. Начиная с 11 июля 2016 года, Google Play будет блокировать публикацию любых новых приложений или обновлений, использующих более старые версии OpenSSL. Если вы используете стороннюю библиотеку, которая включает OpenSSL, вам нужно обновить ее до версии, которая включает OpenSSL 1.02f / 1.01r или выше.

Уязвимости были устранены в OpenSSL 1.02f / 1.01r. Последние версии OpenSSL можно скачать здесь. Чтобы подтвердить свою версию OpenSSL, вы можете выполнить поиск grep ($ unzip -p YourApp.apk | strings | grep "OpenSSL").

Чтобы подтвердить, что вы обновились правильно, отправьте обновленную версию на консоль разработчика и повторите проверку через пять часов. Если приложение не было правильно обновлено, мы выведем предупреждение.

Уязвимости включают «logjam» и CVE-2015-3194. Атака Logjam позволяет злоумышленнику понизить уязвимые соединения TLS до 512-битной криптографии экспортного уровня. Это позволяет злоумышленнику читать и изменять любые данные, передаваемые через соединение. Подробности о других уязвимостях доступны здесь. По другим техническим вопросам вы можете отправлять сообщения в Stack Overflow и использовать теги «android-security» и «OpenSSL».

Хотя эти конкретные проблемы могут не затрагивать каждое приложение, использующее OpenSSL, лучше быть в курсе всех обновлений безопасности. Приложения с уязвимостями, которые подвергают пользователей риску компрометации, могут рассматриваться как нарушение нашей политики злонамеренного поведения и раздела 4.4 Соглашения о распространении для разработчиков.

Приложения также должны соответствовать Соглашению о распространении с разработчиками и Правилам программы для разработчиков. Если вы считаете, что мы отправили это предупреждение по ошибке, свяжитесь с нашей службой поддержки политик через Справочный центр разработчика Google Play.

С Уважением,

Команда Google Play