Bu bilgi, X509TrustManager arayüzünün güvenli olmayan bir kullanımını içeren uygulamaların geliştiricileri için hazırlanmıştır.
Neler oluyor?
Bir veya daha fazla uygulamanız, X509TrustManager arayüzünün güvenli olmayan bir kullanımını içeriyor. Özellikle, uygulama bir uzak makineyle HTTPS bağlantısı kurarken tüm SSL sertifikası doğrulama hatalarını yok saymaktadır. Bu yüzden, uygulamanızda bağlantıyı izinsiz izleme saldırılarına karşı bir güvenlik açığı oluşmaktadır. Bir saldırgan, HTTPS bağlantısında iletilen verileri (giriş kimlik bilgileri gibi) okuyabilir, hatta bu verileri değiştirebilir. Uygulamalarınızla ilgili sorunu düzeltmek için lütfen aşağıda ayrıntılı bir şekilde anlatılan adımları inceleyin. Play Console hesabınızda gösterilen son tarihlerden sonra, düzeltilmemiş güvenlik açığı içeren tüm uygulamalar Google Play'den kaldırılabilir.
Yapılması gerekenler
- Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
- Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.
Ek ayrıntılar
SSL sertifikası doğrulamasını düzgün bir şekilde gerçekleştirmek için, özel X509TrustManager arayüzünüzün checkServerTrusted yöntemindeki kodunuzu değiştirerek, sunucu tarafından sağlanan sertifikanın beklentilerinizi karşılamaması durumunda CertificateException veya IllegalArgumentException oluşturulmasını sağlayın. Özellikle aşağıdaki sorunlara dikkat edin:
- checkServerTrusted tarafından oluşturulan İstisnaların yöntemde yakalanmadığından emin olun. Bu, checkServerTrusted öğesinin normal şekilde çıkmasına yol açarak uygulamanın zararlı bir sertifikaya güvenmesine neden olur.
- Sunucu sertifikasını incelemek için checkValidity yöntemini kullanmayın. checkValidity, bir sertifikanın süresinin dolup dolmadığını kontrol eder, sertifikanın güvenilirliği konusunda bir şey söyleyemez.
Uygulamanızın sertifika davranışını hataya daha az açık bir şekilde özelleştirmek için ağ güvenliği yapılandırması da kullanabilirsiniz.
Yardıma hazırız
Güvenlik açığı hakkında teknik sorularınız varsa bunları Stack Overflow'da "android-security" ve "TrustManager" etiketleriyle yayınlayabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili sorunuz olursa geliştirici destek ekibimize ulaşabilirsiniz.