Como corrigir apps com implementação não segura da TrustManager

Estas informações são destinadas aos desenvolvedores de apps que possuem uma implementação não segura da interface X509TrustManager. Mais especificamente, a implementação ignora todos os erros de validação do certificado SSL ao estabelecer uma conexão HTTPS a um host remoto, deixando seu app vulnerável à invasão de interceptores de dados (ataque conhecido como "man-in-the-middle"). Com a interceptação, os invasores podem ler e até mesmo alterar os dados transmitidos na conexão HTTPS, como credenciais de login. Veja a lista completa dos seus apps afetados no Play Console.

O que está acontecendo

Em 17 de maio de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações com implementação não segura da interface X509TrustManager. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

Para gerenciar de maneira adequada a validação do certificado SSL, altere seu código no método checkServerTrusted da interface X509TrustManager personalizada para implementar CertificateException ou IllegalArgumentException sempre que o certificado apresentado pelo servidor não atender às suas expectativas. Em caso de dúvidas técnicas, escreva uma postagem no Stack Overflow e use as tags "android-security" e "TrustManager".

Mesmo que esses problemas específicos não afetem todos os apps com a implementação da TrustManager, não ignore erros de validação do certificado SSL. Os apps com vulnerabilidades que expõem os usuários a risco de comprometimento de dados podem ser considerados produtos perigosos que violam a Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a Política de conteúdo

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?