Reparación de apps que contengan una implementación no segura de TrustManager

Esta información está dirigida a los programadores de aquellas apps que contengan una implementación no segura de la interfaz X509TrustManager. Específicamente, la implementación ignora todos los errores de validación del certificado SSL cuando se establece una conexión HTTPS con un host remoto, lo que provoca que tu app sea vulnerable a ataques de intermediarios. Cualquier atacante podría leer y hasta cambiar los datos transmitidos (como credenciales de acceso) en la conexión HTTPS. Para ver una lista completa de tus apps afectadas, visita la Consola para programadores.

Para implementar la validación del certificado SSL de manera correcta, cambia tu código en el método checkServerTrusted de tu interfaz personalizada de X509TrustManager para que aparezca CertificateException o IllegalArgumentException cada vez que el certificado que presente el servidor no cumpla con tus expectativas. Para cuestiones técnicas, puedes publicar comentarios en Stack Overflow y usar las etiquetas "android-security" y "TrustManager".

Soluciona este problema lo antes posible y aumenta el número de versión del APK actualizado. A partir del 17 de mayo de 2016, Google Play bloqueará la publicación de apps nuevas o actualizadas que contengan una implementación no segura de la interfaz X509TrustManager.

Para confirmar que corregiste los cambios, envía la versión actualizada de tu app a la Consola para programadores y regresa después de cinco horas. Si la app no se actualizó correctamente, se mostrará una advertencia.

Si bien es posible que estos problemas no afecten a todas las apps que usan la implementación de TrustManager, se recomienda no ignorar los errores de validación del certificado SSL. Es posible que aquellas apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren productos peligrosos que incumplen la Política de contenido y el artículo 4.4 del Acuerdo de distribución para programadores.

Las apps también deben cumplir con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.