Ratkaisuja vähemmän turvallisen salaustilan käyttöön

Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa on käytössä vähemmän turvallinen salaustila AES/ECB. Jos sisältö salataan tässä heikossa tilassa, myös salausteksti voi olla heikko ja käyttäjädata mahdollisesti vaarantua. Sovelluksesi vähemmän turvallisten salaustilojen sijainnit löytyvät sovelluksen Play Console ‐ilmoituksesta. Jos sijainti päättyy "(in dynamically loaded code)", sijainti on sovelluksen tai sen kirjastojen dynaamisesti lataamana koodina. Sovellukset käyttävät dynaamisesti ladattua koodia yleensä on demand ‐ominaisuustoimituksissa, mutta muita ei-suositeltuja tekniikoita on olemassa (jotkin ei-suositellut tekniikat ovat myös Google Playn käytännön vastaisia ja niitä ei pidä käyttää). Lisäksi pakkaajat voivat muuntaa sovelluksen koodin dynaamisesti ladatuksi koodiksi.

Puuttuminen vähemmän turvallisista salaustiloista kertoviin varoituksiin

Tarkista sovelluksen kohta, jossa salausinstanssi luodaan. Nämä asetustilat viittaavat vähemmän turvallisen AES/ECB:n käyttöön: 

  • "AES"
  • "AES/ECB/NoPadding"
  • "AES/ECB/PKCS5Padding"
  • "AES/ECB/ISO10126Padding"

Esimerkiksi seuraava koodi käyttää AES/ECB-tilaa oletuksena, koska AES on mainittu: 

// Console alert refers to this method
 public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
    Cipher cipher = Cipher.getInstance(“AES”); 
// Employs AES/ECB mode by default
    SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);

    return cipher.doFinal(plainText);

 }

Google suosittelee kehittäjille “AES/GCM/NoPadding”-salausta yllä mainitun, vähemmän turvallisen tilan sijaan.

Seuraavat vaiheet

  1. Päivitä sovellus noudattamalla yllä mainittuja ohjeita.
  2. Kirjaudu sisään Play Consoleen ja lähetä sovelluksesi päivitetty versio.

Tänä aikana sovelluksesi tai sovelluspäivityksesi tila on odottaa julkaisua, kunnes pyyntö tarkastetaan. Jos sovellusta ei ole päivitetty oikein, näet varoituksen edelleen.

Autamme mielellämme

Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla.


 
false
Päävalikko
8245775270108214596
true
Ohjekeskushaku
true
true
true
true
true
5016068
false
false