A TrustManager nem biztonságos megvalósítását tartalmazó alkalmazások javítása

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az X509TrustManager felület nem biztonságos megvalósítását tartalmazzák. A megvalósítás figyelmen kívül hagyja az SSL-tanúsítvány hitelesítési hibáit, amikor HTTPS-kapcsolatot létesít egy távoli gazdagéppel, így az alkalmazás sebezhetővé válik a közbeékelődéses (man-in-the-middle) támadásokkal szemben. A támadó láthatja és akár módosíthatja is a HTTPS-kapcsolaton keresztül átadott adatokat (például a bejelentkezés hitelesítési adatait). Érintett alkalmazásaid teljes listáját a Developer Console szolgáltatásban tekintheted meg.

Mi történik?

2016. május 17-től kezdve a Google Play elkezdte letiltani minden olyan új alkalmazás és frissítés közzétételét, amely az X509TrustManager interfész nem biztonságos megvalósítását tartalmazza. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Részletek

Az SSL-tanúsítvány hitelesítésének megfelelő kezeléséhez módosítsd úgy az X509TrustManager interfész checkServerTrusted metódusának kódját, hogy CertificateException vagy IllegalArgumentException kivételt eredményezzen, amikor a szerver által bemutatott tanúsítvány nem felel meg az elvárásaidnak. Technikai jellegű kérdéseidet a Stack Overflow webhelyen, az „android-security” és „TrustManager” címkék használatával teheted fel.

Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely tartalmazza a TrustManager-megvalósítást, nem érdemes figyelmen kívül hagyni az SSL-tanúsítvány hitelesítési hibáit. A biztonsági réseket tartalmazó, így a felhasználókat a támadások kockázatának kitevő alkalmazásokat veszélyes termékeknek tekinthetjük, amelyek sértik a tartalmi irányelveket, illetve a Fejlesztői terjesztési megállapodás 4.4. szakaszát.

Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a tartalmi irányelvekben foglaltaknak is. 

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.