असुरक्षित एन्क्रिप्शन (सुरक्षित) मोड के इस्तेमाल की समस्या हल करने का उपाय

यह जानकारी उन डेवलपर के लिए है जिनके ऐप्लिकेशन में, कम सुरक्षित मोड AES/ECB का इस्तेमाल करके कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) किया जाता है. इस कम सुरक्षित मोड का इस्तेमाल करके कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) करने से, सादे टेक्स्ट के एन्क्रिप्शन कमज़ोर हो सकते हैं. इससे उपयोगकर्ता का डेटा खतरे में पड़ सकता है. आपके ऐप्लिकेशन में कम सुरक्षित एन्क्रिप्शन मोड की जगह (जगहों) की जानकारी, ऐप्लिकेशन के Play Console में मौजूद सूचना सेक्शन में मिल सकती है. अगर किसी जगह की जानकारी “डाइनैमिक रूप से लोड हुए कोड” के तौर पर खत्म होती है, तो कोड के रूप में मौजूद जगह की जानकारी को डाइनैमिक तौर पर ऐप्लिकेशन या ऐप्लिकेशन में इस्तेमाल होने वाली लाइब्रेरी से लोड किया जाता है. ऐप्लिकेशन आम तौर पर, मांग पर उपलब्ध सुविधा की डिलीवरी के ज़रिए, डाइनैमिक तौर पर लोड किए गए कोड का इस्तेमाल करते हैं. हालांकि, ऐसी अन्य तकनीक भी मौजूद होती हैं जिन्हें सुझाया नहीं जाता. इनमें से कुछ तकनीक Google Play की नीति का भी उल्लंघन करती हैं और इन्हें इस्तेमाल नहीं किया जाना चाहिए. इसके अलावा, पैकर टूल की मदद से ऐप्लिकेशन कोड को डाइनैमिक रूप से लोड होने वाले कोड में बदला जा सकता है.

“असुरक्षित क्रिप्टोग्राफ़िक एन्क्रिप्शन मोड” से जुड़ी चेतावनियां ठीक करने का तरीका

उस जगह के लिए अपने ऐप्लिकेशन की समीक्षा करें जहां Cipher इंस्टैंशिएट किया गया है. नीचे दिए गए कॉन्फ़िगरेशन मोड यह बताएंगे कि आपके ऐप्लिकेशन में असुरक्षित AES/ECB का इस्तेमाल किया गया है: 

• "AES"
• "AES/ECB/NoPadding"
• "AES/ECB/PKCS5Padding"
• "AES/ECB/ISO10126Padding"

उदाहरण के लिए, नीचे दिया गया कोड डिफ़ॉल्ट रूप से AES/ECB मोड का इस्तेमाल करता है, क्योंकि "AES" पहले से ही उपलब्ध कराया गया था: 

// Console alert refers to this method
 public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
    Cipher cipher = Cipher.getInstance(“AES”);  // Employs AES/ECB mode by default
    SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    return cipher.doFinal(plainText);

 }

Google का सुझाव है कि डेवलपर ऊपर दिए गए असुरक्षित मोड के बजाय “AES/GCM/NoPadding का इस्तेमाल करें.

अगले चरण

1. ऊपर बताए गए कदमों का इस्तेमाल करके, अपना ऐप्लिकेशन अपडेट करें.
2. अपने Play Console में साइन इन करें और अपने ऐप्लिकेशन का अपडेट किया गया वर्शन सबमिट करें.

जब तक आपके अनुरोध की समीक्षा नहीं हो जाती, तब तक आपके नए ऐप्लिकेशन या ऐप्लिकेशन के अपडेट की स्थिति अभी प्रकाशन होना बाकी है रहेगी. ऐप्लिकेशन को सही तरीके से अपडेट नहीं करने पर, आपको चेतावनी दिखती रहेगी.

हम आपकी मदद के लिए हमेशा तैयार हैं

अगर आप जोखिम की संभावना से जुड़े तकनीकी सवाल पूछना चाहते हैं, तो आप उन्हें Stack Overflow पर पोस्ट कर सकते हैं और “android-security” टैग का इस्तेमाल कर सकते हैं.