Эта информация предназначена для разработчиков, в чьих приложениях используется небезопасная реализация интерфейса X509TrustManager.
Суть проблемы
В одном или нескольких из ваших приложений используется небезопасная реализация интерфейса X509TrustManager. Она игнорирует все ошибки, возникающие при проверке сертификата SSL и установке HTTPS-соединения с удаленным хостом. При этом приложение становится уязвимым для атак посредников, с помощью которых злоумышленники могут прочитать или даже подменить данные, передаваемые по HTTPS-соединению (например, учетные данные). Чтобы устранить уязвимость, выполните описанные ниже действия. По истечении срока, указанного в Play Console, все приложения с уязвимостями могут быть удалены из Google Play.
Что нужно сделать
- Чтобы узнать, какие приложения уязвимы и в какой срок нужно решить проблему, войдите в Play Console и откройте раздел "Оповещения".
- Устраните уязвимость, внеся изменения в затронутые ей приложения.
- Опубликуйте обновленные версии приложений.
После этого мы проведем повторную проверку, которая может занять несколько часов. Если мы убедимся, что уязвимость устранена, то опубликуем приложение и дополнительных действий с вашей стороны не потребуется. В противном случае новая версия не будет опубликована, а вы получите уведомление по электронной почте.
Сведения об уязвимости
Чтобы избежать проблем при проверке сертификата SSL, измените код метода checkServerTrusted в интерфейсе X509TrustManager, чтобы при обнаружении подозрительных сертификатов срабатывало исключение CertificateException или IllegalArgumentException. Обратите внимание на следующие частые ошибки:
- Убедитесь, что метод не перехватывает исключения checkServerTrusted, иначе checkServerTrusted прекратит работу и угроза вредоносных сертификатов сохранится.
- Не используйте checkValidity для проверки сертификата сервера. Этот метод проверяет срок действия сертификата, а не его безопасность.
Также вы можете использовать настройки сетевой безопасности, чтобы исправить поведение сертификата своего приложения.
Мы всегда рады помочь!
Если у вас есть вопросы об уязвимости, задайте их, используя теги android-security и TrustManager. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.