Die folgenden Informationen richten sich an Entwickler von Apps, die Informationen mit dem weniger sicheren AES/ECB-Modus verschlüsseln. Das Verschlüsseln von Inhalten mit diesem Modus kann zu weniger sicheren Geheimtexten führen und die Vertraulichkeit von Nutzerdaten gefährden. An welchen Stellen in Ihrer App weniger sichere Verschlüsselungsmodi verwendet werden, erfahren Sie in der entsprechenden Benachrichtigung in der Play Console. Wenn ein Standort mit „(in dynamisch geladenem Code)“ endet, ist er im Code, der von der App oder durch die von der App verwendeten Bibliotheken dynamisch geladen wird. In der Regel nutzen Apps dynamisch geladenen Code über die On-Demand-Auslieferung von Funktionen. Es gibt jedoch auch andere nicht empfohlene Methoden. Einige nicht empfohlene Methoden verstoßen jedoch gegen die Google Play-Richtlinien und dürfen nicht verwendet werden. Außerdem können Packer Anwendungscode in dynamisch geladenen Code umwandeln.
Probleme bei Benachrichtigungen in Bezug auf einen unsicheren kryptografischen Verschlüsselungsmodus beheben
Überprüfen Sie, an welcher Stelle in Ihrer App ein Cipher instanziiert wird. Die folgenden Konfigurationsmodi deuten auf die Verwendung von unsicherem AES/ECB hin:
„AES“„AES/ECB/NoPadding“„AES/ECB/PKCS5Padding“„AES/ECB/ISO10126Padding“
Im folgenden Code wird standardmäßig der AES/ECB-Modus verwendet, weil „AES“ angegeben wurde:
// Die Benachrichtigung bezieht sich auf folgende Methode
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Nutzt standardmäßig den AES-/ECB-Modus
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google empfiehlt Entwicklern, AES/GCM/NoPadding anstelle des zuvor erwähnten unsicheren Modus zu verwenden.
Nächste Schritte
- Aktualisieren Sie Ihre App, indem Sie die oben beschriebenen Schritte ausführen.
- Melden Sie sich in der Play Console an und reichen Sie die aktualisierte Version Ihrer App ein.
Bis diese Überprüfung abgeschlossen ist, hat Ihre neue App oder Ihr App-Update den Status Veröffentlichung ausstehend. Wenn die App nicht richtig aktualisiert wurde, wird die Warnung weiter angezeigt.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security".