Vor kurzem erhielt ich eine E-Mail von Google unter Angabe spielen:Google Play und OpenSSL Warnmeldung
Hello,
One or more of your apps is running an outdated version of OpenSSL, which has multiple security vulnerabilities. You should update OpenSSL as soon as possible. For more information about the most recent security vulnerability in OpenSSL, please see http://www.openssl.org/news/secadv_20140605.txt .
Please note, while it's unclear whether these specific issues affect your application, applications with vulnerabilities that expose users to risk of compromise may be considered “dangerous products” and subject to removal from Google Play.
Regards,
Google Play Team
©2014 Google Inc. 1600 Amphitheatre Parkway Mountain View, CA 94043
Email preferences: You have received this mandatory email service announcement to update you about important changes to your Google Play account.
Ich habe nicht explizit OpenSSL enthalten in keinem meiner apps. Die Apps, die das Android NDK verwenden, verwenden NDK 9d (das Neueste). Die einzigen externen nativen Bibliotheken, die ich verwende, sind ffmpeg und OpenCV und einige Werbebibliotheken, die keinen nativen Code enthalten.
Wo sonst könnte OpenSSL enthalten sein, die diese Warnung verursacht?
Grüße,
ich auch diese E-Mail heute Morgen bekam. Das bedeutet, dass jeder, der einen Login-Prozess hat, auf den neuesten SDK updaten muss? Ich habe auch keine Open SSL-Bibliothek aufgenommen, aber vielleicht geht es um das Paket java.security, das ich für den Passwort-Hash verwende, vielleicht verwenden Sie auch so etwas? – Jissay
Ich werde meine Bibliotheken aktualisieren (vielleicht Twilio oder Amazon AWS SDK für Android nutzen Sie das), aber danach bin ich nicht wirklich sicher, wie es weiter geht. Würde es noch etwas anderes zu aktualisieren geben?Server von AWS werden soweit ich weiß aktualisiert und behoben. Aber Kundenseite ..? – Armando
@Hyndrix - Können Sie zu der E-Mail navigieren, die Nachrichtenheader anzeigen und dann die Nachrichtenköpfe in die Frage einfügen? Google hat diese Befunde immer noch nicht diskutiert (ich habe gerade ihren Sicherheits-Blog unter http://googleonlinesecurity.blogspot.com/ überprüft) und ich frage mich, ob es wirklich von Google oder einem Scherz von jemandem stammt. – jww