Estoy usando la versión 5.0.0 de Vitamio para mi aplicación en Google Play. Hoy recojo un correo de google. dice "Advertencia de Google Play: estás utilizando una versión vulnerable de OpenSSL"

Hola, desarrollador de Google Play:

Sus aplicaciones enumeradas al final de este correo electrónico utilizan una versión de OpenSSL que contiene una o más vulnerabilidades de seguridad. Si tiene más de 20 aplicaciones afectadas en su cuenta, consulte la Consola de desarrollador para obtener una lista completa.

Migre sus aplicaciones a OpenSSL 1.02f / 1.01r o superior lo antes posible e incremente el número de versión del APK actualizado. A partir del 11 de julio de 2016, Google Play bloqueará la publicación de cualquier aplicación nueva o actualización que use versiones anteriores de OpenSSL. Si está utilizando una biblioteca de terceros que incluye OpenSSL, deberá actualizarla a una versión que incluya OpenSSL 1.02f / 1.01r o superior.

Las vulnerabilidades se abordaron en OpenSSL 1.02f / 1.01r. Las últimas versiones de OpenSSL se pueden descargar aquí. Para confirmar su versión de OpenSSL, puede hacer una búsqueda grep para ($ unzip -p YourApp.apk | strings | grep "OpenSSL").

Para confirmar que ha actualizado correctamente, envíe la versión actualizada a la Consola del desarrollador y vuelva a consultar después de cinco horas. Si la aplicación no se ha actualizado correctamente, mostraremos una advertencia.

Las vulnerabilidades incluyen "logjam" y CVE-2015-3194. El ataque Logjam permite a un atacante de hombre en el medio degradar las conexiones TLS vulnerables a la criptografía de grado de exportación de 512 bits. Esto permite al atacante leer y modificar cualquier dato pasado por la conexión. Los detalles sobre otras vulnerabilidades están disponibles aquí. Para otras preguntas técnicas, puede publicar en Stack Overflow y usar las etiquetas "android-security" y "OpenSSL".

Si bien estos problemas específicos pueden no afectar a todas las aplicaciones que usan OpenSSL, es mejor estar al día con todos los parches de seguridad. Las aplicaciones con vulnerabilidades que exponen a los usuarios al riesgo de compromiso pueden considerarse una violación de nuestra política de comportamiento malicioso y la sección 4.4 del Acuerdo de distribución para desarrolladores.

Las aplicaciones también deben cumplir con el Acuerdo de distribución para desarrolladores y las Políticas del programa para desarrolladores. Si cree que hemos enviado esta advertencia por error, comuníquese con nuestro equipo de soporte de políticas a través del Centro de ayuda para desarrolladores de Google Play.

Saludos,

El equipo de Google Play