Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa on käytössä vähemmän turvallinen salaustila AES/ECB. Jos sisältö salataan tässä heikossa tilassa, myös salausteksti voi olla heikko ja käyttäjädata mahdollisesti vaarantua. Sovelluksesi vähemmän turvallisten salaustilojen sijainnit löytyvät sovelluksen Play Console ‐ilmoituksesta. Jos sijainti päättyy "(in dynamically loaded code)", sijainti on sovelluksen tai sen kirjastojen dynaamisesti lataamana koodina. Sovellukset käyttävät dynaamisesti ladattua koodia yleensä on demand ‐ominaisuustoimituksissa, mutta muita ei-suositeltuja tekniikoita on olemassa (jotkin ei-suositellut tekniikat ovat myös Google Playn käytännön vastaisia ja niitä ei pidä käyttää). Lisäksi pakkaajat voivat muuntaa sovelluksen koodin dynaamisesti ladatuksi koodiksi.
Puuttuminen vähemmän turvallisista salaustiloista kertoviin varoituksiin
Tarkista sovelluksen kohta, jossa salausinstanssi luodaan. Nämä asetustilat viittaavat vähemmän turvallisen AES/ECB:n käyttöön:
"AES"
"AES/ECB/NoPadding"
"AES/ECB/PKCS5Padding"
"AES/ECB/ISO10126Padding"
Esimerkiksi seuraava koodi käyttää AES/ECB-tilaa oletuksena, koska AES on mainittu:
// Console alert refers to this method
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Employs AES/ECB mode by default
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google suosittelee kehittäjille “AES/GCM/NoPadding”
-salausta yllä mainitun, vähemmän turvallisen tilan sijaan.
Seuraavat vaiheet
- Päivitä sovellus noudattamalla yllä mainittuja ohjeita.
- Kirjaudu sisään Play Consoleen ja lähetä sovelluksesi päivitetty versio.
Tänä aikana sovelluksesi tai sovelluspäivityksesi tila on odottaa julkaisua, kunnes pyyntö tarkastetaan. Jos sovellusta ei ole päivitetty oikein, näet varoituksen edelleen.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla.