Ces informations sont destinées aux développeurs ayant une ou plusieurs applications utilisant un chiffrement basé sur le mode AES/ECB, qui est moins sécurisé. Chiffrer du contenu à l'aide de ce mode peu sécurisé peut affaiblir l'efficacité du texte chiffré et exposer les données des utilisateurs. Les emplacements des modes de chiffrement moins sécurisés dans votre application sont indiqués dans la notification de la Play Console pour votre application. Si un emplacement se termine par "(dans le code chargé dynamiquement)", il se trouve dans le code chargé de manière dynamique par l'application ou par les bibliothèques utilisées par l'application. Les applications utilisent généralement du code chargé de manière dynamique via la distribution de fonctionnalités à la demande, bien qu'il existe d'autres techniques non recommandées (certaines techniques non recommandées ne respectent pas non plus le Règlement Google Play). ne doivent pas être utilisées). En outre, les empaqueteurs peuvent transformer le code d'application en code chargé de manière dynamique.
Corriger les alertes liées au "mode de chiffrement non sécurisé"
Vérifiez l'emplacement où un Cipher est instancié dans votre application. Les modes de configuration suivants impliquent l'utilisation du mode AES/ECB non sécurisé :
"AES""AES/ECB/NoPadding""AES/ECB/PKCS5Padding""AES/ECB/ISO10126Padding"
Par exemple, le mode AES/ECB est utilisé par défaut dans le code ci-dessous, car la valeur "AES" a été fournie :
// L'alerte dans la Console fait référence à cette méthode
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Utilise le mode AES/ECB par défaut
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google recommande aux développeurs d'utiliser "AES/GCM/NoPadding" au lieu du mode non sécurisé mentionné précédemment.
Étapes suivantes
- Mettez à jour votre application en suivant les étapes indiquées ci-dessus.
- Connectez-vous à la Play Console, puis envoyez une version mise à jour de votre application.
Votre nouvelle application ou mise à jour d'application sera associée à l'état En attente de publication jusqu'à ce que votre demande soit examinée. Si l'application n'a pas été mise à jour correctement, le message d'avertissement reste affiché.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security".