Deze informatie is bedoeld voor ontwikkelaars met apps die gebruikmaken van de minder goed beveiligde versleutelingsmodus AES/ECB. Als je content versleutelt met deze zwakke modus, kan dit leiden tot zwakke versleutelde tekst. Hierdoor kunnen gebruikersgegevens gevaar lopen. Je vindt de locatie(s) van de minder goed beveiligde versleutelingsmodi in je app in de Play Console-melding voor je app. Als een locatie eindigt met '(in dynamisch geladen code)', is de locatie in code die dynamisch wordt geladen door de app of door bibliotheken die door de app worden gebruikt. Apps gebruiken meestal dynamisch geladen code via on demand levering van functies, hoewel er ook andere niet-aanbevolen technieken bestaan (sommige niet-aanbevolen technieken schenden ook het Google Play-beleid en mogen niet worden gebruikt). Bovendien kunnen packers app-code omzetten in dynamisch geladen code.
Problemen oplossen met meldingen over een niet-beveiligde cryptografische versleutelingsmodus
Check je app voor de locatie waar codering wordt geïnstantieerd. De volgende configuratiemodi impliceren het gebruik van niet-beveiligde AES/ECB:
"AES""AES/ECB/NoPadding""AES/ECB/PKCS5Padding""AES/ECB/ISO10126Padding"
De volgende code gebruikt bijvoorbeeld standaard de AES/ECB-modus omdat "AES" is opgegeven:
// Console alert refers to this method
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Employs AES/ECB mode by default
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google raadt ontwikkelaars aan om "AES/GCM/NoPadding" te gebruiken in plaats van de eerder genoemde niet-beveiligde modus.
Volgende stappen
- Update je app volgens de hierboven beschreven stappen.
- Log in bij je Play Console en dien een geüpdatete versie van je app in.
Gedurende deze tijd heeft je nieuwe app of app-update de status In afwachting van publicatie totdat je verzoek is beoordeeld. Als de app niet correct is geüpdatet, blijf je de waarschuwing zien.
We helpen je graag
Als je technische vragen over de kwetsbaarheid hebt, kun je een bericht posten op Stack Overflow en de tag 'android-security' gebruiken.