Estas informações são destinadas aos desenvolvedores de apps que têm uma implementação não segura da interface X509TrustManager.
O que está acontecendo
Um ou mais dos seus apps têm uma implementação não segura da interface X509TrustManager. Mais especificamente, a implementação ignora todos os erros de validação do certificado SSL ao estabelecer uma conexão HTTPS a um host remoto, deixando seu app vulnerável à invasão de interceptores de dados (ataque conhecido como "man-in-the-middle"). Com a interceptação, os invasores podem ler e até mesmo alterar os dados transmitidos na conexão HTTPS, como credenciais de login. Veja abaixo as etapas detalhadas para corrigir o problema dos seus apps. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.
Ação necessária
- Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
- Atualize esses apps e corrija a vulnerabilidade.
- Envie as versões atualizadas dos apps afetados.
Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.
Mais detalhes
Para gerenciar de maneira adequada a validação do certificado SSL, altere seu código no método checkServerTrusted da interface X509TrustManager personalizada para implementar CertificateException ou IllegalArgumentException sempre que o certificado apresentado pelo servidor não atender às suas expectativas. Especificamente, evite os seguintes erros comuns:
- As exceções geradas pelo checkServerTrusted não podem ficar presas dentro do método. Isso faria com que o checkServerTrusted saísse normalmente, levando o app a confiar em um certificado nocivo.
- Não use o checkValidity para avaliar o certificado do servidor. O checkValidity verifica se o certificado ainda não expirou, mas não é capaz de analisar se ele é confiável.
Você também pode usar uma configuração de segurança de rede para personalizar o comportamento do app em relação a certificados de modo a reduzir erros.
Estamos aqui para ajudar
Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use as tags "android-security" e "TrustManager". Se precisar de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.