Cómo reparar aplicaciones que contienen una implementación no segura de TrustManager

Esta información está destinada a los desarrolladores de aplicaciones que contienen una implementación no segura de la interfaz X509TrustManager. En concreto, la implementación ignora todos los errores de validación de certificados SSL al establecer una conexión HTTPS a un host remoto. De este modo, tu aplicación es vulnerable a los ataques man-in-the-middle. Un atacante podría leer los datos que se hayan transmitido (por ejemplo, las credenciales de inicio de sesión) e incluso cambiar estos datos en la conexión HTTPS. Accede a la Consola para Desarrolladores para obtener una lista completa de tus aplicaciones afectadas.

¿Qué está pasando?

El 1 de marzo del 2017, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que utilicen una implementación no segura de la interfaz X509TrustManager Consulta el aviso en Play Console. Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.

Acción necesaria​

  1. Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
  2. Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las aplicaciones afectadas.

Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.

Información adicional

Para procesar correctamente la validación de certificados SSL, cambia tu código en el método checkServerTrusted de tu interfaz personalizada X509TrustManager para seleccionar CertificateException o IllegalArgumentException siempre que el certificado presentado por el servidor no cumpla tus expectativas. Si tienes preguntas técnicas, puedes publicarlas en Stack Overflow y utilizar las etiquetas "android-security" y "TrustManager".

Ten en cuenta que, aunque es posible que estos problemas específicos no afecten a todas las aplicaciones con la implementación TrustManager, te recomendamos no ignorar los errores de validación de certificados SSL. Las aplicaciones con vulnerabilidades que suponen un riesgo para la seguridad de los usuarios se pueden considerar productos peligrosos que infringen la Política de Contenidos y la sección 4.4 del Acuerdo de Distribución para Desarrolladores.

Asimismo, las aplicaciones deben cumplir el Acuerdo de Distribución para Desarrolladores y la política de contenido

Queremos ayudarte

Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?