Disse oplysninger er beregnet til udviklere med apps, der indeholder kryptering, som anvender den mindre usikre AES/ECB-tilstand. Kryptering af indhold ved hjælp af denne usikre tilstand, kan medføre usikker krypteringstekst og kompromittere brugerdata. Du kan se placeringen af de mindre sikre krypteringstilstande i din app i Play Console-notifikationen for din app. Hvis en placering slutter med "(i dynamisk indlæst kode)", er placeringen dynamisk kodet af den app eller af de samlinger, appen bruger. Apps anvender typisk dynamisk indlæst kode via funktionslevering on-demand, selvom der findes andre ikke-anbefalede teknikker (nogle ikke-anbefalede teknikker overtræder desuden Google Play-politikken og bør ikke anvendes). Pakkere kan i øvrigt omdanne appkode til dynamisk indlæst kode.
Sådan løser du problemer med underretninger om "Usikker kryptografisk krypteringstilstand"
Gennemgå den placering i din app, hvor en krypteringsalgoritme er instantieret. Følgende konfigurationstilstande indikerer, at der anvendes usikker AES/ECB:
"AES"
"AES/ECB/NoPadding"
"AES/ECB/PKCS5Padding"
"AES/ECB/ISO10126Padding"
Følgende kode anvender f.eks. tilstanden AES/ECB som standard, da "AES" er angivet:
// Console alert refers to this method
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Employs AES/ECB mode by default
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google anbefaler, at udviklere bruger "AES/GCM/NoPadding"
i stedet for den usikre tilstand, der er nævnt ovenfor.
Næste trin
- Opdater din app ved at følge de fremhævede trin ovenfor.
- Log ind på Play Console, og indsend en opdateret version af din app.
I denne periode er status for din nye eller opdaterede app afventer udgivelse, indtil din anmodning er gennemgået. Hvis appen ikke er blevet opdateret korrekt, vil du stadig se advarslen.
Vi sidder klar til at hjælpe dig
Hvis du har tekniske spørgsmål vedrørende sikkerhedsbristen, kan du skrive et indlæg på Stack Overflow og bruge tagget "android-security".