Bu bilgiler, uygulamalarında güvenliği düşük bir mod olan AES/ECB'nin kullanıldığı şifreleme bulunan geliştiriciler için hazırlanmıştır. Güvenlik açısından zayıf olan bu modu kullanarak içeriği şifrelemek, metinlerin zayıf bir şekilde şifrelenmesine neden olup kullanıcı verilerini riske atabilir. Uygulamanızdaki güvenliği düşük şifreleme modlarının konumlarını uygulamanızın Play Console bildiriminde bulabilirsiniz. Bir konum “(dinamik olarak yüklenen kodda)” ifadesi ile bitiyorsa konum uygulama tarafından veya uygulamanın kullandığı kitaplıklar tarafından dinamik olarak yüklenen koddadır. Uygulamalar dinamik olarak yüklenen kodları genellikle isteğe bağlı özellik yayınlama üzerinden kullanır. Bununla birlikte, bazı önerilmeyen teknikler de vardır (önerilmeyen tekniklerden bazıları ise Google Play politikasını ihlal ettiğinden kullanılmamalıdır). Ayrıca paketleyiciler uygulama kodunu dinamik olarak yüklenen koda dönüştürebilir.
“Güvenli Olmayan Kriptografik Şifreleme Modu” uyarılarını düzeltme
Uygulamanızı, bir Cipher'ın örneklendirildiği konum açısından inceleyin. Aşağıdaki yapılandırma modları, güvenli olmayan AES/ECB kullanımını belirtir:
"AES""AES/ECB/NoPadding""AES/ECB/PKCS5Padding""AES/ECB/ISO10126Padding"
Örneğin, aşağıdaki kod "AES" sağlandığı için varsayılan olarak AES/ECB modunu kullanır:
// Konsol uyarısı bu yöntemi belirtir
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // Varsayılan olarak AES/ECB modunu kullanır
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google, geliştiricilerin yukarıda belirtilen güvenli olmayan mod yerine "AES/GCM/NoPadding" kullanmasını önermektedir.
Sonraki adımlar
- Yukarıda anlatılan adımları kullanarak uygulamanızı güncelleyin.
- Play Console hesabınızda oturum açıp uygulamanızın güncellenmiş sürümünü gönderin.
Bu süre zarfında yeni uygulamanız veya uygulama güncellemeniz, isteğiniz incelenene kadar yayınlanmak üzere beklemede durumunda kalır. Uygulama doğru şekilde güncellenmediyse uyarıyı görmeye devam edersiniz.
Yardıma hazırız
Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz.