読者です 読者をやめる 読者になる 読者になる

京都町アプリ小路上ル

京都在住のカフェ好きゲームクリエイターが書く、アプリ開発、ゲーム作り、あと京都カフェ情報

オンライン対戦が熱い! お手軽格闘ゲームがパワーアップして帰ってきた!

格闘ゲーム「木拳」 〜暇つぶしにオンライン対戦!無料アプリ〜

格闘ゲーム「木拳」iOS
格闘ゲーム「木拳」Android

GooglePlayからOpenSSLで警告

急にこんなメールが。

 

「Security Alert: You are using a highly vulnerable version of OpenSSL」

 

Hello,

One or more of your apps is running an outdated version of OpenSSL, which has multiple security vulnerabilities. You should update OpenSSL as soon as possible. For more information about the most recent security vulnerability in OpenSSL, please see http://www.openssl.org/news/secadv_20140605.txt.

Please note, while it's unclear whether these specific issues affect your application, applications with vulnerabilities that expose users to risk of compromise may be considered “dangerous products” and subject to removal from Google Play.

Regards,
Google Play Team

 

OpenSSLでHeartbleedバグの次にまた追加で脆弱性が見つかったんだそう。

OpenSSLに新たな脆弱性 利用アプリはアップデート情報に注意を

 

開発者の間でも話題が出てて、

 

http://forums.makingmoneywithandroid.com/android-development/13513-google-play-message-security-alert-you-using-highly-vulnerable-version-ope.html

 

https://plus.google.com/+ChykaraYamada/posts/Uxn2A7QpPp7

 

実装しているSDKの名前で多く上がっているのが、

 

・AdMob

Adobe AIR

 

のようです。

 

しかし、うちのアプリはAdobe AIRは一切使っていないので、AdMobかなぁ・・

 

元祖ビルダッシュ有で全然更新してない古いAdMobが載ったままになってるので、これなのかなぁ・・・

 

ちょっと、まだ様子見てから対策を考えよう。

 

========================================

 

その後の調べ。

 

外部SDKは無関係の仮説で調べてみた。

 

Googleが見ろっていってる文書に、

http://www.openssl.org/news/secadv_20140605.txt

 

OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.

OpenSSLのバージョンがどうのこうの書かれている。

そこで、apkを署名したmacのOpenSSLのバージョンを確認。

$openssl version
OpenSSL 0.9.8y 5 Feb 2013

もしかしてこっち!?

引き続き要調査だ〜

 

==========================================

 

さらに調べて今のところの結論↓

GooglePlayからOpenSSLで警告2 - 京都町アプリ小路上ル