Questo articolo รจ rivolto agli sviluppatori con app che utilizzano un'implementazione non sicura del gestore WebViewClient.onReceivedSslError.
Situazione attuale
Una o piรน delle tue app presentano un'implementazione non sicura del gestore onReceivedSslError, che rende l'app vulnerabile agli attacchi man-in-the-middle. Un malintenzionato potrebbe modificare i contenuti WebView interessati, leggere i dati trasmessi (ad esempio le credenziali di accesso) ed eseguire codice all'interno dell'app utilizzando JavaScript. Consulta la notifica sulla Play Console. Dopo le scadenze indicate nella Play Console, le app che contengono vulnerabilitร di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilitร .
- Invia le versioni aggiornate delle app interessate.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura puรฒ richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrร pubblicata e riceverai una notifica via email.
Ulteriori dettagli
- Per risolvere il problema, aggiorna il codice delle app per richiamare SslErrorHandler.proceed() quando il certificato presentato dal server soddisfa le tue aspettative e per richiamare SslErrorHandler.cancel() negli altri casi. Quando controlli la validitร del certificato, tieni presenti le considerazioni che seguono:
-
Un'app potrebbe essere segnalata se non contiene controlli sufficienti per la validitร del certificato; ad esempio, la semplice verifica del valore restituito da getPrimaryError non รจ sufficiente per stabilire la validitร del certificato.
-
Non รจ sicuro ignorare la maggior parte degli errori SSL restituiti da SslError.getPrimaryError. Tieni presente che getPrimaryError restituisce l'errore piรน grave dell'insieme di errori, pertanto se il valore
getPrimaryError() != SSL_UNTRUSTED
risulta true, la connessione puรฒ comunque contenere un errore SSL_UNTRUSTED nell'insieme di errori.
-
-
Se utilizzi una libreria di terze parti responsabile di questo comportamento, informa la terza parte e risolvete insieme il problema.
Per ulteriori informazioni sul gestore degli errori SSL, consulta la nostra documentazione nel Centro assistenza per gli sviluppatori Android. Puoi pubblicare altre domande tecniche sul sito https://www.stackoverflow.com/questions utilizzando i tag "android-security" e "SslErrorHandler."
Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza WebView SSL, รจ meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app con vulnerabilitร che mettono a rischio la sicurezza degli utenti potrebbero essere considerate prodotti pericolosi in violazione delle Norme relative ai contenuti e della sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilitร su Stack Overflow utilizzando il tag โandroid-security.โ Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per sviluppatori.