Ця інформація призначена для розробників додатків, які використовують ненадійну версію інтерфейсу X509TrustManager.
У чому проблема
Принаймні один ваш додаток містить ненадійну версію інтерфейсу X509TrustManager. Зокрема, ігноруються всі помилки перевірки сертифікатів SSL під час встановлення з'єднання HTTPS із віддаленим хостом. Через це додаток стає вразливим до атак посередника. Зловмисник може перехопити дані під час передавання (наприклад, облікові дані) і змінити інформацію, яка передається через з'єднання HTTPS. Щоб вирішити таку проблему в додатках, перегляньте вказані нижче дії. Після кінцевих термінів, указаних у Play Console, ми можемо вилучати з Google Play додатки, у яких не усунено загрози безпеці.
Потрібна дія
- Увійдіть в обліковий запис Play Console і перейдіть у розділ "Сповіщення", щоб переглянути, які додатки уражено та які терміни вирішення цих проблем.
- Оновіть уразливі додатки й усуньте загрозу.
- Надішліть оновлені версії цих додатків.
Коли ви надішлете оновлені версії, ми знову перевіримо їх. Це може зайняти кілька годин. Якщо додаток буде успішно перевірено й опубліковано, більше нічого не потрібно робити. Якщо додаток не пройде перевірку, його нову версію не буде опубліковано, а ви отримаєте сповіщення електронною поштою.
Додаткова інформація
Як правильно перевіряти сертифікати SSL: змініть код у методі checkServerTrusted свого інтерфейсу X509TrustManager, щоб активувалися непередбачені помилки CertificateException або IllegalArgumentException, коли сервер надає невідповідний сертифікат. Зокрема, врахуйте такі нюанси:
- Переконайтеся, що непередбачені помилки, які активує checkServerTrusted, не перехоплюються в самому методі. У такому разі checkServerTrusted завершить роботу нормально, унаслідок чого додаток довірятиме шкідливому сертифікату.
- Не використовуйте checkValidity для перевірки сертифіката сервера. Метод checkValidity перевіряє, чи сертифікат не прострочений, але не визначає, чи можна йому довіряти.
Крім того, ви можете скористатися конфігурацією мережевої безпеки, щоб зменшити кількість помилок, пов'язаних із сертифікатом додатка.
Ми завжди раді допомогти
Якщо у вас є інші технічні запитання про цю загрозу безпеці, опублікуйте їх на сайті Stack Overflow з тегами android-security та TrustManager. Щоб дізнатися більше про дії для вирішення цієї проблеми, зв'яжіться з нашою службою підтримки розробників.