Aceste informații sunt destinate dezvoltatorilor de aplicații care conțin o implementare nesigură a interfeței X509TrustManager.
Ce se întâmplă
Una sau mai multe aplicații conțin o implementare nesigură a interfeței X509TTrustManager. Mai exact, implementarea ignoră toate erorile de validare a certificatelor SSL când se stabilește o conexiune HTTPS cu o gazdă la distanță. Astfel, aplicația devine vulnerabilă în fața atacurilor de tipul man-in-the-middle. Un atacator ar putea citi datele transmise (cum ar fi datele de conectare) și ar putea chiar modifica datele transmise prin conexiunea HTTPS. Consultați pașii prezentați în detaliu mai jos pentru a remedia problema cu aplicațiile dvs. După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.
Acțiune necesară
- Conectați-vă la Play Console și navigați la secțiunea Alerte ca să vedeți ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
- Actualizați aplicațiile afectate și remediați vulnerabilitatea.
- Trimiteți versiunile actualizate ale aplicațiilor afectate.
După retrimiterea solicitării, aplicația dvs. va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea dvs. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și veți primi o notificare prin e-mail.
Detalii suplimentare
Pentru a gestiona corespunzător validarea certificatelor SSL, modificați codul din metoda checkServerTrusted a interfeței personalizate X509TrustManager, astfel încât să genereze o excepție de tipul CertificateException sau IllegalArgumentException oricând certificatul prezentat de server nu corespunde așteptărilor. În special, rețineți următoarele probleme:
- asigurați-vă că excepțiile exprimate de checkServerTIDed nu sunt surprinse în cadrul metodei. Acest lucru ar duce la ieșirea normală checkServerTrusted, iar aplicația ar avea încredere într-un certificat dăunător;
- nu folosiți checkValidity pentru verificarea certificatului de server. checkValidity verifică dacă un certificat nu este expirat și nu poate afla dacă un certificat nu este de încredere;
puteți folosi și o configurație de securitate a rețelei pentru a personaliza comportamentul certificatului aplicației într-un mod mai puțin predispus la erori.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice despre vulnerabilitate, puteți să postați pe Stack Overflow și să folosiți etichetele „android-Security” și „TrustManager”. Pentru clarificări privind pașii pe care trebuie să îi parcurgeți pentru a rezolva această problemă, contactați echipa de asistență pentru dezvoltatori.