उन ऐप्लिकेशन को ठीक करने का तरीका जिनमें TrustManager असुरक्षित तरीके से लागू किया गया है

यह जानकारी उन ऐप्लिकेशन के डेवलपर के लिए है जिनमें X509TrustManager इंटरफ़ेस असुरक्षित तरीके से लागू किया गया है.

क्या हो रहा है

आपके एक या एक से ज़्यादा ऐप्लिकेशन में X509TrustManager इंटरफ़ेस असुरक्षित तरीके से लागू किया गया है. इस तरह लागू होने से खास तौर पर, दूर मौजूद किसी होस्ट से एचटीटीपीएस कनेक्शन बनाते समय एसएसएल प्रमाणपत्र की पुष्टि करने से जुड़ी सभी गड़बड़ियों की अनदेखी होती है. इससे आपके ऐप्लिकेशन पर मैन इन द मिडल अटैक का जोखिम बढ़ जाता है. हमलावर, ट्रांसमिट किया गया डेटा (जैसे कि लॉगिन क्रेडेंशियल) पढ़ सकता है. यहां तक कि वह एचटीटीपीएस कनेक्शन पर ट्रांसमिट किए गए डेटा में बदलाव भी कर सकता है. अपने ऐप्लिकेशन में हो रही इस समस्या को ठीक करने के लिए, कृपया नीचे दिए ज़्यादा जानकारी वाले चरण देखें. इस समस्या को ठीक करने के लिए Play कंसोल, में दिख रही समयसीमा के बाद, उन ऐप्लिकेशन को Google Play से हटाया जा सकता है जिनमें सुरक्षा से जुड़े जोखिम की संभावना को ठीक नहीं किया गया है.

ज़रूरी कार्रवाई

1. Play कंसोल, में साइन इन करें, फिर 'चेतावनी' सेक्शन पर जाकर देखें कि किन ऐप्लिकेशन में समस्याएं हैं और उन्हें ठीक करने की समयसीमा क्या है.
2. आपके जिन ऐप्लिकेशन में समस्याएं हैं उन्हें अपडेट करें और जोखिम की संभावना को ठीक करें.
3. जिन ऐप्लिकेशन में समस्याएं हैं उनके अपडेट किए गए वर्शन सबमिट करें.

 

दोबारा सबमिट करने पर, आपके ऐप्लिकेशन की फिर से समीक्षा की जाएगी. इस प्रोसेस में कई घंटे लग सकते हैं. अगर ऐप्लिकेशन, समीक्षा में पास होता है और सही तरीके से प्रकाशित हो जाता है, तो कुछ और करने की ज़रूरत नहीं है. अगर ऐप्लिकेशन समीक्षा में फ़ेल हो जाता है, तो ऐप्लिकेशन का नया वर्शन प्रकाशित नहीं किया जाएगा और आपको ईमेल से इसकी सूचना मिल जाएगी.

अन्य जानकारी

एसएसएल प्रमाणपत्र की पुष्टि सही तरीके से करने के लिए, अपने मुताबिक बने X509TrustManager इंटरफ़ेस का कोडcheckServerTrusted तरीके से बदलें. जब भी सर्वर का दिया हुआ प्रमाणपत्र आपके हिसाब से नहीं हो, तब आप ऐसा करके CertificateException या IllegalArgumentException में बढ़ोतरी कर सकते हैं. खास तौर पर, नीचे दिए गए खतरों के बारे में कृपया जानकारी रखें:

1. पक्का करें कि checkServerTrusted तरीके से बढ़ाए गए Exceptions, उसी के अंदर न मिलें. इसकी वजह से checkServerTrusted आम तौर पर बंद हो सकता है जिससे ऐप्लिकेशन नुकसान पहुंचाने वाले प्रमाणपत्र पर भरोसा करने लगेंगे.
2. सर्वर प्रमाणपत्र को जांचने के लिए checkValidity का इस्तेमाल न करें. यह सिर्फ़ इसकी जांच करता है कि प्रमाणपत्र की समयसीमा निकल तो नहीं गई और यह नहीं बता सकता कि किसी प्रमाणपत्र पर भरोसा करना चाहिए या नहीं.

अपने ऐप्लिकेशन के प्रमाणपत्र को अपने मुताबिक ऐसा बनाएं कि वह कम गड़बड़ियां करें. इसके लिए आप नेटवर्क सुरक्षा कॉन्फ़िगरेशन का भी इस्तेमाल कर सकते हैं.

हम मदद के लिए मौजूद हैं

अगर आपके पास जोखिम की संभावना से जुड़े तकनीकी सवाल हैं, तो उन्हें Stack Overflow पर पोस्ट कर सकते हैं. साथ ही, “android-security” और “TrustManager” टैग का इस्तेमाल कर सकते हैं. समस्या को ठीक करने के लिए जो कदम उठाने हैं उनके बारे में ज़्यादा जानकारी के लिए, हमारी डेवलपर सहायता टीम से संपर्क कर सकते हैं.