Tieto informácie sú určené pre vývojárov aplikácií, ktoré obsahujú šifrovanie využívajúce menej zabezpečený režim AES/ECB. Šifrovanie obsahu pomocou tohto slabého režimu môže viesť k slabým šifrám a potenciálne ohroziť údaje používateľa. Miesta menej zabezpečených režimov šifrovania v aplikácii nájdete v upozornení služby Play Console, ktoré sa týka vašej aplikácie. Ak sa miesto končí reťazcom „(v dynamicky načítanom kóde)“, nachádza sa v kóde dynamicky načítanom aplikáciou alebo knižnicami, ktoré aplikácia používa. Aplikácie zvyčajne používajú dynamicky načítaný kód prostredníctvom doručenia funkcií na vyžiadanie. Avšak existujú aj iné neodporúčané techniky (niektoré z nich porušujú pravidlá služby Google Play a nemali by sa používať). Okrem toho môžu nástroje na kompresiu súborov transformovať kód aplikácie na dynamicky načítavaný kód.
Ako vyriešiť upozornenia na nebezpečný režim kryptografického šifrovania
Skontrolujte vo svojej aplikácii, kde bola vytvorená inštancia šifry. Používanie nezabezpečeného režimu AES/ECB budú naznačovať nasledujúce konfiguračné režimy:
AESAES/ECB/NoPaddingAES/ECB/PKCS5PaddingAES/ECB/ISO10126Padding
Nasledujúci kód napríklad používa režim AES/ECB predvolene, pretože bola poskytnutá hodnota AES:
// Upozornenie služby Console odkazuje na túto metódu
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Predvolene používa režim AES/ECB
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google odporúča vývojárom namiesto nezabezpečeného režimu spomenutého vyššie používať AES/GCM/NoPadding.
Ďalší postup
- Pomocou pokynov zvýraznených vyššie aktualizujte svoju aplikáciu.
- Prihláste sa do služby Play Console a odošlite aktualizovanú verziu svojej aplikácie.
Počas tohto obdobia bude mať nová aplikácia alebo aktualizácia aplikácie stav Čaká na zverejnenie, dokým nebude vaša žiadosť skontrolovaná. Ak aplikácia nebola správne aktualizovaná, upozornenie sa bude naďalej zobrazovať.
Radi vám pomôžeme
V prípade technických otázok týkajúcich sa tejto chyby zabezpečenia môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku „android-security“.