Rješavanje problema s upotrebom nesigurnog načina šifriranja

Ove su informacije namijenjene razvojnim programerima čije aplikacije šifriraju sadržaj koristeći nesigurniji način rada AES/ECB. Šifriranjem sadržaja pomoću tog slabog načina mogu se dobiti slabi kriptotekstovi i potencijalno ugroziti korisnički podaci. Lokacije nesigurnijih načina šifriranja u aplikaciji mogu se pronaći u obavijesti Play konzole za vašu aplikaciju. Ako lokacija završava s "(u dinamički učitanom kodu)", lokacija je u kodu koji dinamički učitavaju aplikacija ili biblioteke koje aplikacija upotrebljava. Aplikacije obično upotrebljavaju dinamički učitan kôd putem isporuke značajki na zahtjev, iako postoje i druge tehnike koje se ne preporučuju (neke tehnike koje se ne preporučuju također krše pravila Google Playa i ne smiju se koristiti). Osim toga, alati za pakiranje mogu pretvoriti kôd aplikacije u dinamički učitan kôd.

Kako riješiti problem na koji ukazuju upozorenja Nesiguran način kriptografskog šifriranja

U aplikaciji potražite lokaciju na kojoj se instancira šifra. Sljedeći načini konfiguracije impliciraju upotrebu nesigurnog AES/ECB-a:

  • "AES"
  • "AES/ECB/NoPadding"
  • "AES/ECB/PKCS5Padding"
  • "AES/ECB/ISO10126Padding"

Na primjer, sljedeći kôd upotrebljava način AES/ECB prema zadanim postavkama jer je naveden "AES":

// Upozorenje konzole odnosi se na ovu metodu
 public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
    Cipher cipher = Cipher.getInstance(“AES”);  // Upotrebljava način AES/ECB prema zadanim postavkama
    SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
    return cipher.doFinal(plainText);

 }

Google preporučuje da razvojni programeri upotrebljavaju "AES/GCM/NoPadding" umjesto prethodno navedenog nesigurnog načina.

Sljedeći koraci

  1. Ažurirajte aplikaciju prema prethodno istaknutim uputama.
  2. Prijavite se na Play konzolu i pošaljite ažuriranu verziju svoje aplikacije.

Za to vrijeme vaša nova aplikacija ili ažuriranje aplikacije imat će status Na čekanju za objavljivanje dok se vaš zahtjev ne pregleda. Ako aplikacija nije pravilno ažurirana, upozorenje će se prikazivati i dalje.

Obratite nam se ako vam zatreba pomoć

Ako imate tehničkih pitanja u vezi s tim problemom, možete objaviti post na Stack Overflowu uz oznaku "android-security".


 
false
Glavni izbornik
12247991450105606663
true
Pretraži Centar za pomoć
true
true
true
true
true
5016068
false
false