안전하지 않은 TrustManager 구현을 포함하는 앱을 수정하는 방법

이 정보는 안전하지 않은 X509TrustManager 인터페이스 구현을 포함하는 앱의 개발자를 위한 정보입니다. 특히 원격 호스트에 HTTPS 연결을 설정할 때 구현은 모든 SSL 인증서 확인 오류를 무시하기 때문에 앱이 중간자 공격에 취약해집니다. 공격자는 전송된 데이터(로그인 사용자 자격증명 등)를 읽을 수 있으며 HTTPS 연결에서 전송된 데이터를 변경할 수도 있습니다. 개발자 콘솔에서 해당하는 앱의 전체 목록을 확인해 주세요.

SSL 인증서 확인을 올바르게 처리하려면 맞춤 X509TrustManager 인터페이스의 checkServerTrusted 방식에서 코드를 변경하여 서버에서 제공하는 인증서에서 개선이 필요한 부분을 발견할 때마다 CertificateException이나 IllegalArgumentException을 제기합니다. 기술 관련 질문이 있으면 Stack Overflow에 'android-security' 및 'TrustManager' 태그를 추가하여 게시하세요.

최대한 빨리 이 문제를 해결하고 업그레이드된 APK의 버전 번호를 높이세요. 2016년 5월 17일부터 Google Play에서는 안전하지 않은 X509TrustManager 인터페이스 구현을 포함하는 새 앱이나 업데이트 게시를 차단할 예정입니다.

제대로 변경되었는지 확인하려면 앱의 업데이트 버전을 개발자 콘솔에 제출하고 5시간이 지난 후 다시 확인하세요. 앱이 제대로 업그레이드되지 않은 경우 경고 메시지가 표시됩니다.

이 특정 문제는 TrustManager 구현을 포함하는 모든 앱에 영향을 주는 것은 아니지만 SSL 인증서 확인 오류를 무시하지 않는 것이 좋습니다. 사용자를 보안 위험에 노출시키는 취약점이 있는 앱은 콘텐츠 정책 및 개발자 배포 계약의 섹션 4.4를 위반하는 위험한 제품으로 간주될 수 있습니다.

또한 앱은 개발자 배포 계약콘텐츠 정책을 준수해야 합니다. Google에서 이 경고를 잘못 발송했다고 생각되면 Google Play 개발자 도움말 센터를 통해 Google 지원팀에 문의하시기 바랍니다.

이 도움말이 도움이 되었나요?
어떻게 하면 개선할 수 있을까요?