Reparación de apps que contengan una implementación no segura de TrustManager

Esta información está dirigida a los programadores de aquellas apps que contengan una implementación no segura de la interfaz X509TrustManager. Específicamente, la implementación ignora todos los errores de validación del certificado SSL cuando se establece una conexión HTTPS con un host remoto, lo que provoca que tu app sea vulnerable a ataques de intermediarios. Cualquier atacante podría leer y hasta cambiar los datos transmitidos (como credenciales de acceso) en la conexión HTTPS. Para ver una lista completa de tus apps afectadas, visita Play Console.

Novedades

A partir del 17 de mayo de 2016, Google Play comenzó a bloquear la publicación de apps nuevas o actualizaciones que usan una implementación no segura de la interfaz X509TrustManager. Consulta la notificación en tu cuenta de Play ConsoleDespués de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

Para implementar la validación del certificado SSL de manera correcta, cambia tu código en el método checkServerTrusted de la interfaz personalizada de X509TrustManager para que aparezca CertificateException o IllegalArgumentException cada vez que el certificado que presente el servidor no cumpla con tus expectativas. Si tienes preguntas técnicas, publícalas en Stack Overflow con las etiquetas "android-security" y "TrustManager".

Si bien es posible que estos problemas no afecten a todas las apps que usan la implementación de TrustManager, se recomienda no ignorar los errores de validación del certificado SSL. Es posible que aquellas apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren Productos Peligrosos que incumplen la Política de Contenido y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.

Las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.