Pataisymas dėl nesaugaus šifruotės režimo naudojimo

Ši informacija skirta programos (-ų), kurioje (-iose) yra šifruotė, naudojanti nelabai saugų AES / EB režimą, kūrėjams. Jei šifruosite turinį naudodami šį nepatikimą režimą, gali būti kuriami nepatikimi šifrų tekstai ir gali kilti pavojus naudotojų duomenims. Nelabai saugių šifravimo režimų programoje vietą (-as) rasite programos „Play Console“ pranešime. Jei vieta baigiasi verte „(dinamiškai įkeliamame kode)“, vieta yra kode, kurį dinamiškai įkelia programa arba programos naudojamos bibliotekos. Programose paprastai naudojamas dinamiškai įkeliamas kodas, naudojant funkcijos pateikimą kada panorėjus, nors yra ir kitų nerekomenduojamų metodų (kai kurie nerekomenduojami metodai taip pat pažeidžia „Google Play“ politiką ir neturėtų būti naudojami). Be to, paketų kūrimo programos gali pakeisti programos kodą į dinamiškai įkeliamą kodą.

Kaip spręsti problemas, gavus įspėjimų dėl nesaugaus kriptografinio šifravimo režimo

Peržiūrėkite programą toje vietoje, kur sukurtas Cipher egzempliorius. Toliau pateikti konfigūravimo režimai nurodo nesaugaus AES / EBB naudojimą. 

  • AES
  • AES/ECB/NoPadding
  • AES/ECB/PKCS5Padding
  • AES/ECB/ISO10126Padding

Pavyzdžiui, pagal numatytuosius nustatymus toliau nurodytame kode naudojamas AES / EBB režimas, nes buvo pateiktas AES. 

// „Console“ įspėjimas nurodo šį metodą
 public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
    Cipher cipher = Cipher.getInstance(“AES”);  // Pagal numatytuosius nustatymus naudojamas AES/ECB režimas
    SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    return cipher.doFinal(plainText);

 }

„Google“ rekomenduoja kūrėjams naudoti AES/GCM/NoPadding vietoje anksčiau nurodyto nesaugaus režimo.

Kiti veiksmai

  1. Atnaujinkite programą atlikdami anksčiau nurodytus veiksmus.
  2. Prisijunkite prie Play Console ir pateikite atnaujintos versijos programą.

Šiuo laikotarpiu naujos programos ar programos naujinio būsena bus Laukiama paskelbimo, kol užklausa bus peržiūrėta. Jei programa nebuvo tinkamai atnaujinta, vis tiek matysite įspėjimą.

Esame pasirengę padėti

Jei kyla su pažeidimais susijusių techninių klausimų, galite juos paskelbti Stack Overflow ir naudoti žymą „android-security“.


 
false
Pagrindinis meniu
5484020297921360554
true
Paieška pagalbos centre
true
true
true
true
true
5016068
false
false