アプリのOpenSSLバージョンを確認する
OpenSSLのバージョン確認は必要
脆弱性があるとお客様を危険に晒すことになるので大事なことです。
もちろんGoogle PlayのリリースではセキュリティスキャンとしてOpenSSLのバージョン確認も行われています。
アプリの OpenSSL の脆弱性への対処方法 - Google ヘルプによると、OpenSSL1.02f/1.01rより前のバージョンはだめとのことです。
fとかrの部分はアルファベット順で1.01qはNG、1.01sはOKという認識です。
OpenSSLとは、暗号通信プロトコルの機能を実装したオープンソースのライブラリ
セキュリティーを要求される通信のためのプロトコルである「SSLプロトコル」と「TLSプロトコル」を容易に実装できるオープンソースパッケージ。ソフトウェアライブラリ。
確認は、解凍したapkからOpenSSLでgrepする
$ cd {$project}/{$module}/build/outputs/apk $ unzip -p {$name}.apk | strings | grep "OpenSSL"
unzip
は解凍です。-pオプションでパイプ(stdout)に抽出してくれ、元ファイルがどうこうなることはありません。
strings
はプリント可能な文字列を検索してくれます。
grep
はgrep "hoge"
でhogeを検索します。
ちなみにGoogle Playのベータ版テストでリリース前にセキュリティスキャンができる
なので、Google Playは上手く使いこなしたいですね。
Google playでのベータ版配布機能について - Qiita
参考
OpenSSLの仕組みとは?初歩から解説! | Tech2GO
OpenSSLの説明