针对 OpenSSL 1.0.2k 的 Google Play 漏洞警告答案

【问题标题】：Google Play vulnerability warning for OpenSSL 1.0.2k针对 OpenSSL 1.0.2k 的 Google Play 漏洞警告
【发布时间】：2017-08-12 13:11:55
【问题描述】：

当我向 Google Play 提交新 APK 时，我的 APK 被拒绝并显示以下消息：

此应用使用包含安全漏洞的软件用户或允许在未经适当披露的情况下收集用户数据。

以下是问题列表和相应的 APK 版本在您最近提交的文件中检测到。 请升级您的应用尽快增加升级后的版本号 APK。

OpenSSL

这些漏洞已在 OpenSSL 1.02f/1.01r 中得到解决。确认您的 OpenSSL 版本，您可以使用 grep 搜索：
$ unzip -p YourApp.apk | strings | grep "OpenSSL"
您可以在此How to address OpenSSL vulnerabilities in your apps 中找到更多信息和后续步骤。

我检查了我的 APK，它使用的是 1.0.2k 版本的 OpenSSL

我现在该怎么办？

【问题讨论】：

另见Google Play and OpenSSL warning message、Android Google Play old OpenSSL warning、Google Play warning and “unsafe implementation of X509TrustManager”、How to grep or search .jar files for OpenSSL?和How to determine which dependency causes Google Play OpenSSL warning?
OpenSSL 1.0.2l is the latest 版本可用。将您的应用更新到 OpenSSL 1.0.2l。
我在 NDK 中使用 CURL 库，所以我如何更新它
或许您应该尝试更新 NDK。

标签： android android-ndk openssl google-play android-security

【解决方案1】：

您自己直接使用 OpenSSL，或者您正在使用一些使用 OpenSSL 的第三方库。

如果您自己直接使用 OpenSSL，请获取更新的版本。

如果您正在使用某些使用 OpenSSL 的第三方库，请识别该库，然后升级到该库的最新版本。如果库仍使用旧版 OpenSSL，请停止使用该库。

【讨论】：