Как устранить уязвимость в приложениях с небезопасной реализацией TrustManager

Эта информация предназначена для разработчиков, в чьих приложениях используется небезопасная реализация интерфейса X509TrustManager.

Суть проблемы

В одном или нескольких из ваших приложений используется небезопасная реализация интерфейса X509TrustManager. Она игнорирует все ошибки, возникающие при проверке сертификата SSL и установке HTTPS-соединения с удаленным хостом. При этом приложение становится уязвимым для атак посредников, с помощью которых злоумышленники могут прочитать или даже подменить данные, передаваемые по HTTPS-соединению (например, учетные данные). Чтобы устранить уязвимость, выполните описанные ниже действия. По истечении срока, указанного в Play Console, все приложения с уязвимостями могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и в какой срок нужно решить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Устраните уязвимость, внеся изменения в затронутые ей приложения.
  3. Опубликуйте обновленные версии приложений.

 

После этого мы проведем повторную проверку, которая может занять несколько часов. Если мы убедимся, что уязвимость устранена, то опубликуем приложение и дополнительных действий с вашей стороны не потребуется. В противном случае новая версия не будет опубликована, а вы получите уведомление по электронной почте.

Сведения об уязвимости

Чтобы избежать проблем при проверке сертификата SSL, измените код метода checkServerTrusted в интерфейсе X509TrustManager, чтобы при обнаружении подозрительных сертификатов срабатывало исключение CertificateException или IllegalArgumentException. Обратите внимание на следующие частые ошибки:

  1. Убедитесь, что метод не перехватывает исключения checkServerTrusted, иначе checkServerTrusted прекратит работу и угроза вредоносных сертификатов сохранится.
  2. Не используйте checkValidity для проверки сертификата сервера. Этот метод проверяет срок действия сертификата, а не его безопасность.

Также вы можете использовать настройки сетевой безопасности, чтобы исправить поведение сертификата своего приложения.

Мы всегда рады помочь!

Если у вас есть вопросы об уязвимости, задайте их, используя теги android-security и TrustManager. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
false
Главное меню
5258694445904662801
true
Поиск по Справочному центру
true
true
true
true
true
5016068
false
false