Utbedring for bruk av usikker krypteringsmodus

Denne informasjonen er beregnet på utviklere med apper som inneholder kryptering som bruker den mindre sikre modusen AES/ECB. Kryptering av innhold ved bruk av denne svake modusen kan føre til svake chiffertekster, og det kan føre til at brukerdata utsettes for risiko. Du finner posisjonen til de mindre sikre krypteringsmodusene i appen din i appvarselet i Play-konsollen. Hvis en posisjon slutter med «(i dynamisk innlastet kode)», er posisjonen i kode som lastes inn dynamisk av appen eller av biblioteker som brukes av appen. Apper bruker vanligvis dynamisk innlastet kode via levering av funksjoner på forespørsel, men det finnes andre ikke anbefalte teknikker (enkelte teknikker som ikke er anbefalt, bryter også retningslinjene for Google Play og skal ikke brukes). I tillegg kan «packers» gjøre programkode om til dynamisk innlastet kode.

Slik fikser du varsler om «Modus for utrygg krypografisk kryptering»

Se gjennom appen din for å finne posisjonen der et chiffer blir instansiert. Disse konfigurasjonsmodusene impliserer bruk av usikker AES/EFB: 

  • «AES»
  • «AES/ECB/NoPadding»
  • «AES/ECB/PKCS5Padding»
  • «AES/ECB/ISO10126Padding»

Følgende kode bruker for eksempel AES/ECB-modus som standard fordi «AES» ble angitt: 

// Console alert refers to this method
 public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
    Cipher cipher = Cipher.getInstance(“AES”); 
// Employs AES/ECB mode by default
    SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);

    return cipher.doFinal(plainText);

 }

Google anbefaler at utviklere bruker «AES/GCM/NoPadding» i stedet for den ovennevnte usikre modusen.

Dette kan du gjøre videre

  1. Oppdater appen din ved å følge trinnene ovenfor.
  2. Logg på Play-konsollen, og send inn en oppdatert versjon av appen.

I løpet av denne perioden har den nye appen eller appoppdateringen statusen venter på publisering frem til forespørselen din er gjennomgått. Hvis appen ikke er oppdatert på riktig måte, ser du fortsatt advarselen.

Vi hjelper deg gjerne

Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke etiketten «android-security».


 
false
Hovedmeny
6041032610940926556
true
Søk i brukerstøtte
true
true
true
true
true
5016068
false
false