Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa on toteutettu X509TrustManager-käyttöliittymä haavoittuvuuden aiheuttavalla tavalla.
Mistä on kyse?
X509TrustManager-käyttöliittymän toteutus sovelluksissasi aiheuttaa haavoittuvuuden. Kun HTTPS-yhteyttä etäpalvelimeen muodostetaan, käyttöliittymä ohittaa kaikki SSL-varmenteen tarkistusvirheet. Tämä voi altistaa sovelluksesi välistävetohyökkäyksille. Hyökkääjä voi ehkä nähdä lähetettyjä tietoja, esimerkiksi kirjautumistietoja, ja jopa muuttaa HTTPS-yhteydellä lähetettyjä tietoja. Korjaa sovellustesi ongelmat alla olevien ohjeiden mukaisesti. Play Consolessa näkyvien määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset voidaan poistaa Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet sovellukset, joihin ongelmat vaikuttavat, ja määräajat niiden korjaamiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
Korjaa SSL-varmenteiden tarkistaminen muuttamalla koodia X509TrustManager-käyttöliittymän checkServerTrusted-metodissasi niin, että se luo CertificateException- tai IllegalArgumentException‑poikkeuksen, jos palvelimen esittämä varmenne ei vastaa odotuksia. Ota huomioon erityisesti nämä ongelmakohdat:
- Varmista, ettei checkServerTrusted-metodi ratkaise itse aiheuttamiaan poikkeuksia. Jos ratkaisee, checkServerTrusted suljetaan normaalisti, ja sovellus saattaa luottaa vaaralliseen varmenteeseen.
- Älä käytä checkValidity-metodia palvelimen varmenteen tarkistamiseen. Se tarkistaa vain, onko varmenne vanhentunut, eikä voi selvittää varmenteen luotettavuutta.
Voit myös muokata sovelluksen varmennekäsittelyä verkkoturvallisuusmäärityksillä ja vähentää virheiden mahdollisuutta.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow'ssa. Merkitse kysymyksesi android-security- ja TrustManager-tageilla. Jos tarvitset lisätietoja ongelman ratkaisun vaiheista, voit ottaa yhteyttä kehittäjien tukitiimiimme.