Ця інформація призначена для розробників, у чиїх додатках використовується недостатньо надійний режим шифрування AES/ECB. Ненадійне шифрування тексту може становити потенційну загрозу для даних користувачів. З відповідного сповіщення Play Console можна з’ясувати, де саме в додатку застосовуються ненадійні режими шифрування. Якщо місце розташування закінчується на "(у динамічно завантажуваному коді)", це означає, що воно в коді, який динамічно завантажується додатком або бібліотеками, що використовуються в додатку. Зазвичай додатки використовують динамічно завантажуваний код через доставку за запитом, хоча є інші нерекомендовані способи (деякі нерекомендовані способи також порушують правила Google Play, і їх не можна використовувати). Крім того, пакувальники можуть перетворювати код додатка на динамічно завантажуваний код.
Усуньте сповіщення про ненадійні режими криптографічного шифрування
Знайдіть місце у своєму додатку, де інстанційовано об'єкт Cipher. Перелічені нижче режими конфігурації вказують на використання ненадійного режиму AES/ECB.
"AES""AES/ECB/NoPadding""AES/ECB/PKCS5Padding""AES/ECB/ISO10126Padding"
Наприклад, у наведеному нижче коді вказано "AES", а тому за умовчанням використовується режим AES/ECB.
// Сповіщення на консолі стосуються вказаного нижче способу
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES”); // За умовчанням використовується режим AES/ECB
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
Google радить розробникам натомість використовувати надійніший режим "AES/GCM/NoPadding".
Подальші дії
- Оновіть додаток, виконавши вказані вище дії.
- Увійдіть в обліковий запис Play Console і надішліть оновлену версію додатка.
Доки запит не буде розглянуто, ваш новий або оновлений додаток матиме статус Готується до публікації. Якщо додаток оновлено неправильно, ви й надалі бачитимете застереження.
Ми завжди раді допомогти
Якщо у вас є технічні запитання про цю загрозу безпеці, опублікуйте їх на сайті Stack Overflow з тегом android-security.