Postup opravy aplikací obsahujících nezabezpečenou implementaci rozhraní TrustManager

Tyto informace jsou určeny vývojářům aplikací, které obsahují nezabezpečenou implementaci rozhraní X509TrustManager. Konkrétně se jedná o to, že implementace při navazování spojení se vzdáleným hostitelem prostřednictvím protokolu HTTPS ignoruje všechny chyby ověření certifikátu SSL, což způsobuje, že je aplikace náchylná k útokům typu man-in-the-middle. Útočník by si mohl přečíst přenášená data (např. přihlašovací údaje), nebo dokonce data přenášená prostřednictvím připojení HTTPS změnit. Úplný seznam dotčených aplikacích naleznete ve Vývojářské konzoli.

K čemu dochází

Od 17. května 2016 začala služba Google Play blokovat publikování nových aplikací a aktualizací, které používají nezabezpečené implementace rozhraní X509TrustManager. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Za účelem správné validace certifikátu SSL změňte kód v metodě checkServerTrusted ve vlastním rozhraní X509TrustManager tak, aby pokaždé, když certifikát poskytnutý serverem nesplňuje vaše očekávání, volal metodu CertificateException nebo IllegalArgumentException. Máte-li technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítky „android-security“ a „TrustManager“.

Ačkoli tyto konkrétní problémy nemusejí mít dopad na každou aplikaci s implementací rozhraní TrustManager, doporučujeme, abyste chyby ověření certifikátu SSL neignorovali. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za nebezpečné produkty, jež porušují obsahové zásady a odstavec 4.4 distribuční smlouvy pro vývojáře.

Aplikace také musí být v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.