Ši informacija skirta programų, kuriose naudojama nesaugiai įdiegta „X509TrustManager“ sąsaja, kūrėjams.
Kas vyksta
Mažiausiai vienoje jūsų programoje yra nesaugus sąsajos „X509TrustManager“ diegimas. Įdiegta sąsaja konkrečiai ignoruoja visas SSL sertifikato patvirtinimo klaidas, kai užmezgamas HTTPS ryšys su nuotoline priegloba, todėl programa tampa pažeidžiama duomenų nuskaitymo atakos atveju. Atakos vykdytojas gali skaityti perduodamus duomenis (pvz., prisijungimo duomenis) ir netgi pakeisti HTTPS ryšiu perduodamus duomenis. Jei norite išspręsti su programomis susijusią problemą, peržiūrėkite toliau išsamiai aprašytus veiksmus. Praėjus Play Console nurodytiems terminams, programos, kuriose yra nepataisytų saugos pažeidimų, gali būti pašalintos iš „Google Play“.
Būtini veiksmai
- Prisijunkite prie „Play Console“ ir nuėję į skiltį „Įspėjimai“ peržiūrėkite, kurios programos yra paveiktos ir iki kada reikia išspręsti šias problemas.
- Atnaujinkite paveiktas programas ir pataisykite pažeidimą.
- Pateikite atnaujintas paveiktų programų versijas.
Pateikus iš naujo, programa bus peržiūrėta dar kartą. Tai gali užtrukti kelias valandas. Jei programa po peržiūros įvertinama kaip tinkama ir sėkmingai paskelbiama, kitų veiksmų imtis nereikia. Jei programa po peržiūros įvertinama kaip netinkama, nauja jos versija skelbiama nebus, o jūs gausite pranešimą el. paštu.
Papildoma išsami informacija
Kad SSL sertifikato patvirtinimas būtų tinkamai apdorotas, pakeiskite tinkintos sąsajos „X509TrustManager“ metodo „checkServerTrusted“ kodą, kad įgalintumėte „CertificateException“ arba „IllegalArgumentException“, kai serverio pateikiamas sertifikatas neatitinka jūsų lūkesčių. Ypač atkreipkite dėmesį į nurodytas problemas.
- Užtikrinkite, kad naudojant metodą nebūtų užfiksuotos „checkServerTrusted“ taikomos išimtys. Tada „checkServerTrusted“ bus uždaryta įprastai, todėl programa pasitikės žalingu sertifikatu.
- Nenaudokite „checkValidity“ serverio sertifikato tikrinimo tikslais. „CheckValidity“ tikrina, ar nesibaigė sertifikato galiojimas, ir negali nustatyti, ar sertifikatas neturėtų būti patikimas.
Taip pat galite naudoti tinklo saugos konfigūraciją, kad galėtumėte tinkinti programos sertifikato veikimą darydami mažiau klaidų.
Esame pasirengę padėti
Jei kyla su pažeidimais susijusių techninių klausimų, galite juos paskelbti „Stack Overflow“ naudodami žymą „android-security“. Jei reikia daugiau informacijos apie veiksmus, kuriuos turite atlikti, kad išspręstumėte šią problemą, galite susisiekti su mūsų kūrėjų palaikymo komanda.