Náprava používání nezabezpečeného režimu šifrování

Tyto informace jsou určeny vývojářům aplikací, které obsahují šifrování pomocí méně bezpečného režimu AES/ECB. Šifrování obsahu pomocí tohoto slabého režimu může vést ke slabému zašifrování textu a potenciálně data uživatelů vystavit riziku. Umístění méně bezpečných režimů šifrování v aplikaci naleznete v oznámení o aplikaci ve službě Play Console. Pokud umístění končí dynamicky načteným kódem, jedná se o kód načtený aplikací nebo knihovnami použitými v aplikaci. Aplikace obvykle používají dynamicky načítaný kód prostřednictvím dodání funkcí na vyžádání, ale existují i jiné nedoporučené postupy (některé z nich také porušují zásady služby Google Play a jejich použití je zakázáno). Balíčky pak mohou převést kód aplikace na dynamicky načítaný kód.

Jak upozornění na nezabezpečený režim kryptografického šifrování vyřešit

Vyhledejte v aplikaci umístění, ve kterém se vytváří instance objektu Cipher. Následující režimy konfigurace naznačují použití nezabezpečeného režimu AES/ECB: 

  • "AES"
  • "AES/ECB/NoPadding"
  • "AES/ECB/PKCS5Padding"
  • "AES/ECB/ISO10126Padding"

Následující kód například ve výchozím nastavení používá režim AES/ECB, protože byla jako parametr zadána hodnota „AES“: 

// Tuto metodu zmiňuje upozornění ve službě Console
 public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
    Cipher cipher = Cipher.getInstance(“AES”);  // Používá ve výchozím nastavení režimu AES/ECB
    SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    return cipher.doFinal(plainText);

 }

Společnost Google doporučuje, aby vývojáři místo výše uvedeného nezabezpečeného režimu používali režim "AES/GCM/NoPadding".

Další kroky

  1. Aktualizujte aplikaci podle výše uvedených pokynů.
  2. Přihlaste se do služby Play Console a odešlete aktualizovanou verzi aplikace.

Dokud nebude žádost zkontrolována, nová aplikace nebo aktualizace aplikace bude mít stav čeká na publikování. Pokud aplikace nebyla aktualizována správně, bude se upozornění zobrazovat i nadále.

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“.


 
false
Hlavní nabídka
3351581238364145242
true
Prohledat Centrum nápovědy
true
true
true
true
true
5016068
false
false