Aceste informații le sunt destinate dezvoltatorilor ale căror aplicații conțin criptare ce folosește modul mai puțin sigur AES/ECB. Criptarea conținutului folosind acest mod nesigur poate duce la texte slab criptate și poate pune în pericol datele utilizatorului. Locațiile modurilor de criptare mai puțin sigure din aplicație pot fi găsite în notificarea Play Console pentru aplicația ta. Dacă o locație se termină cu „(în codul încărcat dinamic) înseamnă că locația este în codul încărcat dinamic de aplicație sau de bibliotecile folosite de aplicație. De obicei, aplicațiile folosesc cod încărcat dinamic prin livrarea la cerere, deși există alte tehnici nerecomandate (unele tehnici nerecomandate încalcă și politica Google Play și nu trebuie utilizate). În plus, creatorii de pachete pot transforma codul aplicației în cod încărcat dinamic.
Cum să remediezi alertele de tip „Mod de criptare criptografică nesigur”
Examinați-vă aplicația ca să aflați unde a creat Cipher o variantă. Următoarele moduri de configurare vor sugera folosirea unui mod AES/ECB nesecurizat:
AES,AES/CEB/NoPadding,AES/ECB/PKCS5Padding,AES/ECB/ISO10126Padding.
De exemplu, următorul cod folosește în mod prestabilit modul AES/ECB, deoarece s-a introdus AES.
// Alerta de la consolă se referă la această metodă
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Folosește modul AES/ECB în mod prestabilit
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google recomandă ca dezvoltatorii să folosească AES/GCM/NoPadding în locul modului nesecurizat menționat anterior.
Pașii următori
- Actualizați aplicația folosind pașii evidențiați mai sus.
- Conectați-vă la Play Console și trimiteți versiunea actualizată a aplicației.
În această perioadă, noua aplicație sau actualizarea aplicației se va afla în starea Publicare în așteptare. Dacă aplicația nu a fost actualizată corect, avertizarea va apărea în continuare.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice cu privire la vulnerabilitate, puteți posta pe Stack Overflow, cu eticheta „android-security”.