Ako opraviť aplikácie s nebezpečnou implementáciou rozhrania TrustManager

Tieto informácie sú určené pre vývojárov aplikácií s nebezpečnou implementáciou rozhrania X509TrustManager.

Čo sa deje

Minimálne jedna vaša aplikácia obsahuje nebezpečnú implementáciu rozhrania X509TrustManager. Táto implementácia konkrétne ignoruje všetky chyby overenia certifikátu SSL pri vytváraní pripojenia HTTPS so vzdialeným hostiteľom, čím spôsobuje, že vaša aplikácia je nechránená voči útokom typu man in the middle. Útočníci teda môžu čítať prenášané údaje (napríklad prihlasovacie údaje) a dokonca zmeniť údaje prenášané prostredníctvom pripojenia HTTPS. Problém s aplikáciou vyriešte podľa podrobných pokynov uvedených nižšie. Po termínoch uvedených v službe Play Console môžu byť na Google Play odstránené všetky aplikácie obsahujúce nevyriešené chyby zabezpečenia.

Vyžaduje sa akcia​

  1. Prihláste sa do služby Play Console, prejdite do sekcie Upozornenia a pozrite si termíny, dokedy treba problémy vyriešiť, ako aj aplikácie, ktorých sa to týka.
  2. Aktualizujte príslušné aplikácie a chybu zabezpečenia odstráňte.
  3. Odošlite aktualizované verzie dotyčných aplikácií.

 

Po opätovnom odoslaní bude vaša aplikácia znova skontrolovaná. Tento proces môže trvať niekoľko hodín. Ak aplikácia úspešne prejde kontrolou a bude zverejnená, nie je potrebné vykonať žiadne ďalšie kroky. Ak aplikácia neprejde kontrolou, jej nová verzia sa nezverejní a dostanete upozornenie e‑mailom.

Ďalšie podrobnosti

Ak chcete správne spracovávať overenie certifikátu SSL, zmeňte metódu checkServerTrusted v kóde vášho vlastného rozhrania X509TrustManager, aby vrátilo výnimku CertificateException alebo IllegalArgumentException vždy vtedy, keď certifikát poskytnutý serverom nespĺňa vaše očakávania. Upozorňujeme konkrétne na nasledujúce skutočnosti:

  1. Zaistite, aby výnimky získané metódou checkServerTrusted v nej neboli zachytené. Viedlo by to k normálnemu ukončeniu metódy checkServerTrusted a aplikácia by tak dôverovala škodlivému certifikátu.
  2. Na účely kontroly certifikátu servera nepoužívajte metódu checkValidity. Táto metóda kontroluje, či nevypršala platnosť certifikátu, a nedokáže rozpoznať, či je certifikát nedôveryhodný.

Na prispôsobenie spracúvania certifikátov aplikáciou, v prípade ktorého dochádza k menšiemu počtu chýb, môžete tiež použiť konfiguráciu zabezpečenia siete.

Sme tu pre vás

Ak máte technické otázky týkajúce sa chýb zabezpečenia, uverejnite príspevok vo fóre Stack Overflow a použite značku „android‑security“ a „TrustManager“. Ak potrebujete pomoc s jednotlivými krokmi potrebnými na vyriešenie problému, obráťte sa na tím podpory pre vývojárov.

false
Hlavná ponuka
7187234778297385958
true
Vyhľadávanie v Centre pomoci
true
true
true
true
true
5016068
false
false