Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kurās tiek nedrošā veidā izmantota saskarne X509TrustManager.
Problēma
Viena vai vairākas jūsu lietotnes ietver nedrošu saskarnes X509TrustManager ieviešanu. Ja saskarne tiek izmantota šādā nedrošā veidā, izveidojot HTTPS savienojumu ar attālu saimniekdatoru, tiek ignorētas visas SSL sertifikātu validēšanas kļūdas, tādējādi lietotne tiek pakļauta starpnieku uzbrukumu riskam. Uzbrucējs var nolasīt pārsūtītos datus (piemēram, pieteikšanās akreditācijas datus) vai pat mainīt HTTPS savienojumā sūtītos datus. Lai novērstu lietotnēs radušās problēmas, pārskatiet tālāk norādītās detalizētās darbības. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.
Papildinformācija
Lai SSL sertifikāta validēšana tiktu veikta pareizi, mainiet pielāgotās saskarnes X509TrustManager metodē checkServerTrusted ietverto kodu, ģenerējot CertificateException vai IllegalArgumentException ikreiz, kad servera sniegtais sertifikāts neatbilst jūsu prasībām. Jo īpaši, lūdzu, ņemiet vērā tālāk minētās nepilnības.
- Gādājiet, lai metodes checkServerTrusted aktivizētie izņēmumi netiktu ietverti šajā metodē. Tas var izraisīt metodes checkServerTrusted normālu izeju, liekot lietotnei uzticēties kaitīgam sertifikātam.
- Neizmantojiet metodi checkValidity servera sertifikāta pārbaudei. Metode checkValidity pārbauda, vai nav beidzies sertifikāta derīguma termiņš, un nevar noteikt, vai sertifikāts ir uzticams.
Varat arī izmantot tīkla drošības konfigurāciju, lai pielāgotu savas lietotnes sertifikāta darbību mazāk kļūdainā veidā.
Mēs jums palīdzēsim
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmes “android-security” un “TrustManager”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.