Ezek az információk olyan fejlesztőknek szólnak, akiknek az alkalmazásai a kevésbé biztonságos AES/ECB titkosítási módot alkalmazzák. Ha ezzel a gyenge móddal titkosítod a tartalmaidat, az gyenge titkosított szöveget eredményezhet, és veszélyeztetheti a felhasználói adatokat. Az alkalmazás kevésbé biztonságos titkosítási módjainak helye(i) az alkalmazás Play Console-értesítésében található(k). Ha az adott hely végződése „(in dynamically loaded code)”, akkor a hely az alkalmazás vagy az alkalmazás által használt könyvtárak által dinamikusan betöltött kódban található. Az alkalmazások jellemzően dinamikus módon betöltött kódot használnak az igény szerinti funkciómegjelenítés révén, bár vannak más nem ajánlott módszerek is (néhány nem javasolt módszer a Google Play irányelveit is sérti, ezeket nem szabad használni). A csomagolók ezenkívül dinamikusan betöltött kóddá is alakíthatják az alkalmazáskódot.
Nem biztonságos titkosítási mód kijavításával kapcsolatos értesítések
Keresd meg az alkalmazásban azt a helyet, ahol a Cipher létre lett hozva. A következő konfigurációs módok nem biztonságos AES/ECB használatát sejtetik:
„AES”„AES/ECB/NoPadding”„AES/ECB/PKCS5Padding”„AES/ECB/ISO10126Padding”
A következő kód például az AES/ECB módot használja alapértelmezés szerint, mivel az „AES” van megadva:
// Erre a metódusra vonatkozik a Play Console figyelmeztetése
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Alapértelmezés szerint az AES/ECB módot alkalmazza
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
A Google azt javasolja, hogy a fejlesztők a fent említett nem biztonságos mód helyett az „AES/GCM/NoPadding” módot használják.
További lépések
- Frissítsd alkalmazásod a fent leírt módon.
- Jelentkezz be a Play Console oldalán, és küldd be alkalmazásod frissített verzióját.
Eközben az új alkalmazás vagy alkalmazásfrissítés állapota „közzététel függőben” lesz, amíg a kérelmedet felülvizsgálják. Ha a frissítés nem megfelelő, akkor a figyelmeztetés nem tűnik el.
Örömmel segítünk
A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva.