GooglePlayからOpenSSLで警告の対策方法
「Security Alert: You are using a highly vulnerable version of OpenSSL」の対策方法です。
cocos2d-xでAndroidアプリを公開している人向けの情報です。
結論から先に言いますと、
libcurlのライブラリを対策版に差し替えてapk作り直し
となります。
対策方法は最後に書いてます。
その前に、GooglePlayに問い合わせた人がいたので、回答を載せておきます。Anyone else receive this e-mail from "Google Play Team"?
(1) You can determine which apps are using OpenSSL via ("$ unzip -p YourApp.apk | strings | grep "OpenSSL"")
下記のコマンドで自分のapkにOpenSSLが含まれているかみてね。
$ unzip -p YourApp.apk | strings | grep "OpenSSL"
(2) Please update the all statically linked versions of OpenSSL to 1.0.1h, 1.0.0m, or 0.9.8za.
OpenSSLのバージョンが、
0.9.8系の場合は0.9.8za
1.0.0系の場合は1.0.0m
1.0.1系の場合は1.0.1h
がそれぞれ今回の問題に対応してるバージョンですよ。
(3) If you are using a 3rd party library that bundles OpenSSL, please notify the 3rd party and work with them to address this.
サードパーティー製のライブラリにOpenSSLが使われている場合は、そこに連絡してライブラリをアップデートしてもらってね。
ってことでした。
自分の場合はcocos2d-xに対策してもらわないといけないので、本家サイトにいくと、もうアップデート版が出ていました。助かります〜。どうも、libcurlのOpenSSLが古かったようです。OpenSSL ver1.0.0aからver1.0.1hに変更されてました。
■対策方法===============================
1、ここから対策版curlをダウンロード
http://cocostudio.download.appget.cn/Cocos2D-X/curl.zip
2、解凍して差し替える
cocos2d-x-2.2.3/cocos2dx/platform/third_party/android/prebuilt/libcurl
3、apk生成してOpenSSLのバージョン確認
Macのターミナル開いて、次のコマンドで確認。
$ unzip -p YourApp.apk | strings | grep "OpenSSL"
OpenSSLのバージョンが1.0.1hになっていればOK!
4、動作確認
自分はCCHttpで自社サーバーとhttpsで通信しているので、そこが正常に動くか確認しました。そもそもlibcurlを使用していない場合は、アプリが起動するかとかでいいのでは。
私はAndroidアプリ12本中10本作り直しコースです・・
でももっと大変な人いるんだろうな〜