Denne artikkelen er ment for utviklere med apper som bruker en usikker implementering av WebViewClient.onReceivedSslError-behandleren.
Hva skjer?
Én eller flere av appene dine inneholder en usikker implementering av onReceivedSslError-behandleren, noe som fører til at appene blir sårbare for «man-in-the-middle»-angrep. Angripere kan endre det berørte WebView-innholdet, lese sendte data (for eksempel påloggingslegitimasjon) og kjøre kode i appen med JavaScript. Les varselet i Play-konsollen. Alle apper som inneholder uløste sikkerhetssvakheter, kan bli fjernet fra Google Play etter tidsfristene som vises i Play-konsollen.
Dette må du gjøre
- Logg på Play-konsollen og gå til Varsler-delen for å se hvilke apper som er berørt samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis appene godkjennes etter gjennomgangen og publiseres, trenger du ikke å gjøre noe mer. Hvis de ikke godkjennes, blir ikke de nye appversjonene publisert, og du mottar et varsel på e-post.
Flere detaljer
- For å løse problemet, oppdater koden i appene dine, så SslErrorHandler.proceed() utløses når sertifikatet som vises av tjeneren, oppfyller kravene dine, og SslErrorHandler.cancel() utløses når det ikke gjør det. Husk følgende punkt når du sjekker om sertifikatet er gyldig:
-
Apper kan bli merket hvis de ikke inneholder tilstrekkelige kontroller for gyldige sertifikater. Det er for eksempel ikke nok bare å sjekke returverdien til getPrimaryError for å fastslå at sertifikater er gyldige.
-
Det er ikke trygt å ignorere de fleste SSL-feil fra SslError.getPrimaryError. Vær oppmerksom på at getPrimaryError returnerer den alvorligste feilen i et sett med feil, så hvis
getPrimaryError()!= SSL_UNTRUSTEDer angitt som sant, kan tilkoblingen fremdeles inneholde en SSL_UNTRUSTED-feil i settet med feil.
-
-
Hvis problemet skyldes at du bruker et tredjepartsbibliotek, må du gjøre den aktuelle tredjeparten oppmerksom på det og finne en løsning sammen med dem.
Du finner mer informasjon om SSL-feilbehandleren i dokumentasjonen vår i brukerstøtten for Android-utviklere. Hvis du har andre tekniske spørsmål, kan du legge dem ut på https://www.stackoverflow.com/questions med etikettene «android-security» og «SslErrorHandler».
Disse spesifikke problemene gjelder ikke nødvendigvis for alle apper som bruker WebView SSL, men det er likevel best å holde seg oppdatert på alle sikkerhetspatcher (feilrettinger). Apper med svakheter som gjør at brukerne utsettes for risiko, kan vurderes som farlige produkter som er i strid med retningslinjene for innhold og del 4.4 av distribusjonsavtalen for utviklere.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.