Denne informasjonen er myntet på apputviklere med apper som inneholder en usikker implementering av grensesnittet X509TrustManager.
Hva skjer?
Én eller flere av appene dine inneholder en usikker implementering av grensesnittet X509TrustManager. Implementeringen ignorerer alle valideringsfeil i SSL-sertifikater når HTTPS-tilkoblinger opprettes til eksterne verter. Dette fører til at appen din blir sårbar for mellommannangrep. Angripere kan lese dataene som overføres (for eksempel påloggingslegitimasjon) og til og med endre disse dataene via HTTPS-tilkoblingen. Gå gjennom trinnene nedenfor for å løse problemet med appene dine. Alle apper som inneholder uløste sikkerhetssvakheter, kan bli fjernet fra Google Play etter tidsfristene som vises i Play-konsollen.
Handling kreves
- Logg på Play-konsollen, og gå til Varsler-delen for å se hvilke apper som er berørt, samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis appene godkjennes etter gjennomgangen og publiseres, trenger du ikke å gjøre noe mer. Hvis de ikke godkjennes, blir ikke de nye appversjonene publisert, og du mottar et varsel på e-post.
Flere detaljer
For å håndtere validering av SSL-sertifikatet på riktig måte må du endre koden i checkServerTrusted-metoden for det tilpassede X509TrustManager-grensesnittet ditt for å utløse enten CertificateException eller IllegalArgumentException når sertifikatet som vises av tjeneren, ikke oppfyller forventningene dine. Vær spesielt oppmerksom på følgende fallgruver:
- Sørg for at unntakene som utløses av checkServerTrusted, ikke fanges opp i metoden. Hvis dette skjer, fører det til at checkServerTrusted avsluttes som normalt, noe som gjør at appen stoler på et skadelig sertifikat.
- Ikke bruk checkValidity til å vurdere tjenersertifikatet. checkValidity sjekker om et sertifikat er utløpt eller ikke, og vet ikke om et sertifikat er uklarert.
Du kan også bruke en konfigurasjon for nettverkssikkerhet til å tilpasse hvordan apper håndterer sertifikater, på en måte som er mindre utsatt for feil.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke etikettene «android-security» og «TrustManager». Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.