Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az X509TrustManager interfész nem biztonságos megvalósítását tartalmazzák.
Mi történik?
Legalább egy alkalmazásodban nem biztonságos módon van megvalósítva az X509TrustManager interfész. A megvalósítás figyelmen kívül hagyja az SSL-tanúsítvány hitelesítési hibáit, amikor HTTPS-kapcsolatot létesít egy távoli gazdagéppel, így az alkalmazás sebezhetővé válik a közbeékelődéses (man-in-the-middle) támadásokkal szemben. A támadó láthatja és akár módosíthatja is a HTTPS-kapcsolaton keresztül átadott adatokat (például a bejelentkezés hitelesítési adatait). Alkalmazásaid problémáinak kijavításához tekintsd át az alábbi részletes lépéseket. A Play Console felületén látható határidők után eltávolíthatjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.
Teendők
- Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
- Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
- Küldd be az érintett alkalmazások frissített verzióit.
A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.
Részletek
Az SSL-tanúsítvány hitelesítésének megfelelő kezeléséhez módosítsd úgy az egyéni X509TrustManager interfészed checkServerTrusted metódusának kódját, hogy CertificateException vagy IllegalArgumentException kivételt emeljen, amikor a szerver által bemutatott tanúsítvány nem felel meg az elvárásaidnak. Különösen figyelj a következő buktatókra:
- Gondoskodj arról, hogy a checkServerTrusted által emelt kivételeket ne kapd el a metódusban. Ez a checkServerTrusted megfelelő kilépését eredményezné, ami azzal járna, hogy az alkalmazás megbízik egy kártékony tanúsítványban.
- Ne használd a checkValidity metódust a szervertanúsítvány ellenőrzésére. A checkValidity azt figyeli, hogy a tanúsítvány lejárt-e, de azt nem tudja megmondani, hogy meg lehet-e bízni benne.
A hálózati biztonsági beállítások személyre szabásával elérheted, hogy csökkenjen a tanúsítványokkal kapcsolatos hibalehetőségek száma az alkalmazásoknál.
Örömmel segítünk
Ha technikai jellegű kérdéseid vannak a sebezhetőséggel kapcsolatban, felteheted őket a Stack Overflow webhelyén az „android-security” és a „TrustManager” címkék használatával. Ha tisztázni szeretnéd, hogy pontosan milyen lépéseket kell tenned a probléma megoldása érdekében, felveheted a kapcsolatot a fejlesztői ügyfélszolgálatunkkal.