GmsCore_OpenSSL 可以激起应用被拒绝 Google 全部更新玩吗?
GmsCore_OpenSSL can provoke app rejected from Google Play with all updated?
我猜不止一个 收到一封来自 Google 的邮件 Play 消息 :
"您好Google Play开发者,
我们想让您知道,下面列出的您的应用静态 link 针对具有多个用户安全漏洞的 OpenSSL 版本。请在 2015 年 7 月 7 日前将您的应用程序迁移到更新版本的 OpenSSL。从这一天开始,Google Play 将阻止发布任何使用不受支持的 OpenSSL 版本的新应用和更新。
警告原因:违反内容政策和开发者分发协议第 4.4 节的危险产品规定。
从 1.0.1h、1.0.0m 和 0.9.8za 开始的 OpenSSL 版本中修复了这些漏洞。要确认您的 OpenSSL 版本,您可以通过以下方式执行 grep:
$ 解压-p YourApp.apk |字符串 | grep "OpenSSL"
有关此漏洞的详细信息,请参阅此 OpenSSL 安全通报。要确认您已正确升级,请将应用程序的更新版本提交到开发者控制台,并在 5 小时后回来查看。
从 2015 年 7 月 7 日开始,我们将不再接受包含漏洞的应用程序更新。任何包含漏洞的新应用都将被拒绝。"
所以我读了很多关于这个的帖子,比如 , Post 2 和其他人。我必须说,在我的第一个应用程序版本中,我没有使用任何库,全部来自 Android (我使用 webview ),当我使用“unzip -p YourApp.apk | strings | grep "OpenSSL"" 在我的第一个应用程序中 我没有任何 OpenSSL.
这是否意味着我已收到邮件,因为我可能使用旧的 OpenSSL 签署了 apk? (我使用 Windows,Android Studio。)如果是这样,我应该用最新版本的 OpenSSL 制作一个 签名的 apk 手册y 吗?
或者我的 apk 必须需要 OpenSSL 吗?
在我目前的版本中,我使用的库如下:app-compact:22.2.0(来自 android,最新版本),gms:7.5.0(来自 android,最新版本) 和 volley ( 1.0.16 ),当我使用 "unzip -p YourApp.apk | strings | grep "OpenSSL"" 时,我得到了类似的结果 GmsCore_OpenSSL 。我想 GmsCore_OpenSSL 来自 gms 的库,所以是 Android 的原生。
- 这是否意味着他拥有最新的 OpenSSL?
- 我需要在某个地方初始化吗?
谢谢先进,
您用来签署 APK 的工具并不重要。如果您已经搜索了 APK 中的每个文件并且找不到旧 OpenSSL 的任何用途,下一步是检查您的 APK 间接使用的所有文件。
曾经有一个应用程序下载了Busybox,而Busybox包含curl,其中包含旧版本的OpenSSL,导致它被标记。
因此 如果您正在下载任何本机代码库,运行 个字符串 | grep "OpenSSL" 并确保它们也是最新的。
我猜不止一个 收到一封来自 Google 的邮件 Play 消息 :
"您好Google Play开发者,
我们想让您知道,下面列出的您的应用静态 link 针对具有多个用户安全漏洞的 OpenSSL 版本。请在 2015 年 7 月 7 日前将您的应用程序迁移到更新版本的 OpenSSL。从这一天开始,Google Play 将阻止发布任何使用不受支持的 OpenSSL 版本的新应用和更新。
警告原因:违反内容政策和开发者分发协议第 4.4 节的危险产品规定。 从 1.0.1h、1.0.0m 和 0.9.8za 开始的 OpenSSL 版本中修复了这些漏洞。要确认您的 OpenSSL 版本,您可以通过以下方式执行 grep:
$ 解压-p YourApp.apk |字符串 | grep "OpenSSL"
有关此漏洞的详细信息,请参阅此 OpenSSL 安全通报。要确认您已正确升级,请将应用程序的更新版本提交到开发者控制台,并在 5 小时后回来查看。 从 2015 年 7 月 7 日开始,我们将不再接受包含漏洞的应用程序更新。任何包含漏洞的新应用都将被拒绝。"
所以我读了很多关于这个的帖子,比如
这是否意味着我已收到邮件,因为我可能使用旧的 OpenSSL 签署了 apk? (我使用 Windows,Android Studio。)如果是这样,我应该用最新版本的 OpenSSL 制作一个 签名的 apk 手册y 吗?
或者我的 apk 必须需要 OpenSSL 吗?
在我目前的版本中,我使用的库如下:app-compact:22.2.0(来自 android,最新版本),gms:7.5.0(来自 android,最新版本) 和 volley ( 1.0.16 ),当我使用 "unzip -p YourApp.apk | strings | grep "OpenSSL"" 时,我得到了类似的结果 GmsCore_OpenSSL 。我想 GmsCore_OpenSSL 来自 gms 的库,所以是 Android 的原生。
- 这是否意味着他拥有最新的 OpenSSL?
- 我需要在某个地方初始化吗?
谢谢先进,
您用来签署 APK 的工具并不重要。如果您已经搜索了 APK 中的每个文件并且找不到旧 OpenSSL 的任何用途,下一步是检查您的 APK 间接使用的所有文件。
曾经有一个应用程序下载了Busybox,而Busybox包含curl,其中包含旧版本的OpenSSL,导致它被标记。
因此 如果您正在下载任何本机代码库,运行 个字符串 | grep "OpenSSL" 并确保它们也是最新的。