Postup opravy aplikací s nezabezpečenou implementací rozhraní TrustManager

Tyto informace jsou určeny vývojářům aplikací, které obsahují nezabezpečenou implementaci rozhraní X509TrustManager.

K čemu dochází

Minimálně jedna vaše aplikace obsahuje nezabezpečenou implementaci rozhraní X509TrustManager. Implementace při navazování spojení se vzdáleným hostitelem prostřednictvím protokolu HTTPS ignoruje všechny chyby ověření certifikátu SSL, a aplikace je proto náchylná k útokům typu man-in-the-middle. Útočník by si mohl přečíst přenášená data (např. přihlašovací údaje), nebo dokonce data přenášená prostřednictvím připojení HTTPS změnit. Opravte chybu v aplikacích podle následujících podrobných pokynů. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

 

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Za účelem správného ověření certifikátu SSL změňte kód metody checkServerTrusted v rozhraní X509TrustManager tak, aby pokaždé, když certifikát poskytnutý serverem nesplňuje vaše očekávání, vyvolala výjimku CertificateException nebo IllegalArgumentException. Dejte pozor zejména na tato úskalí:

  1. Zajistěte, aby metoda checkServerTrusted vyvolané výjimky sama nezachytávala. Volání metody checkServerTrusted by tak neskončilo chybou a aplikace by důvěřovala škodlivým certifikátům.
  2. Ke kontrole platnosti certifikátu nepoužívejte metodu checkValidity. Metoda checkValidity kontroluje, zda certifikátu nevypršela platnost. Nedůvěryhodné certifikáty rozpoznat nedokáže.

Můžete také pomocí konfigurace zabezpečení sítě přizpůsobit chování certifikátu aplikace tak, aby bylo méně náchylné k chybám.

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítky „android-security“ a „TrustManager“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.

false
Hlavní nabídka
3827040388748058032
true
Prohledat Centrum nápovědy
true
true
true
true
true
5016068
false
false