Како да решите проблеме са апликацијама које садрже небезбедну примену TrustManager-а

Ове информације су намењене програмерима апликација које садрже небезбедну примену интерфејса X509TrustManager.

Шта се дешава

Једна или више апликација садржи небезбедну примену интерфејса X509TrustManager. Конкретно, примена занемарује све грешке при валидацији SSL сертификата када се успоставља HTTPS веза са удаљеним хостом, што апликацију чини подложном нападима преко посредника. Нападач може да чита пренесене податке (попут акредитива за пријављивање), па чак и да мења податке пренесене помоћу HTTPS везе. Прегледајте детаљне кораке у наставку да бисте решили проблем са апликацијама. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.

Треба да реагујете​

1. Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
2. Ажурирајте апликације на које се ово односи и исправите пропусте.
3. Пошаљите ажуриране верзије апликација на које се ово односи.

 

Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.

Детаљне информације

Да бисте исправно управљали валидацијом SSL сертификата, промените кôд у оквиру метода checkServerTrusted прилагођеног интерфејса X509TrustManager да бисте покренули CertificateException или IllegalArgumentException када год сертификат који се добија од сервера не испуњава ваша очекивања. Посебно имајте на уму следеће могуће проблеме:

1. Уверите се да изузеци које обухвата checkServerTrusted нису обухваћене тим методом. То би довело до уобичајеног излаза за checkServerTrusted, па би апликација сматрала да је штетан сертификат поуздан.
2. Немојте да користите checkValidity за проверу сертификата сервера. checkValidity проверава да ли је сертификат истекао и не може да утврди да ли је сертификат непоуздан.

Можете да користите и конфигурације мрежне безбедности да бисте прилагодили понашање сертификата на начин који је мање подложан грешкама.

Ту смо да помогнемо

Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознака „android-security“ и „TrustManager“. Да бисте боље разумели кораке које треба да предузмете за решавање овог проблема, обратите се тиму подршке за програмере.