GooglePlayからOpenSSLで警告
急にこんなメールが。
「Security Alert: You are using a highly vulnerable version of OpenSSL」
Hello,
One or more of your apps is running an outdated version of OpenSSL, which has multiple security vulnerabilities. You should update OpenSSL as soon as possible. For more information about the most recent security vulnerability in OpenSSL, please see http://www.openssl.org/news/secadv_20140605.txt.
Please note, while it's unclear whether these specific issues affect your application, applications with vulnerabilities that expose users to risk of compromise may be considered “dangerous products” and subject to removal from Google Play.
Regards,
Google Play Team
OpenSSLでHeartbleedバグの次にまた追加で脆弱性が見つかったんだそう。
OpenSSLに新たな脆弱性 利用アプリはアップデート情報に注意を
開発者の間でも話題が出てて、
https://plus.google.com/+ChykaraYamada/posts/Uxn2A7QpPp7
実装しているSDKの名前で多く上がっているのが、
・AdMob
のようです。
しかし、うちのアプリはAdobe AIRは一切使っていないので、AdMobかなぁ・・
元祖ビルダッシュ有で全然更新してない古いAdMobが載ったままになってるので、これなのかなぁ・・・
ちょっと、まだ様子見てから対策を考えよう。
========================================
その後の調べ。
外部SDKは無関係の仮説で調べてみた。
Googleが見ろっていってる文書に、
http://www.openssl.org/news/secadv_20140605.txt
OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.
OpenSSLのバージョンがどうのこうの書かれている。
そこで、apkを署名したmacのOpenSSLのバージョンを確認。
$openssl version
OpenSSL 0.9.8y 5 Feb 2013
もしかしてこっち!?
引き続き要調査だ〜
==========================================
さらに調べて今のところの結論↓
GooglePlayからOpenSSLで警告2 - 京都町アプリ小路上ル