Répondre aux alertes du gestionnaire d'erreurs WebView SSL dans vos applications

Cet article est destiné aux développeurs dont la ou les applications utilisent une mise en œuvre non sécurisée du gestionnaire WebViewClient.onReceivedSslError.

Que se passe-t-il ?

Une ou plusieurs de vos applications contiennent une mise en œuvre non sécurisée du gestionnaire onReceivedSslError, ce qui les rend vulnérables aux attaques dites "de l'homme du milieu". Un pirate informatique pourrait modifier le contenu WebView affecté, lire les données transmises (telles que les identifiants de connexion) et exécuter du code au sein de l'application à l'aide de JavaScript. Veuillez consulter la notification dans la Console PlayPassé les délais indiqués dans la Console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.

Action requise

  1. Connectez-vous à la Console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
  2. Mettez à jour les applications concernées et corrigez la faille.
  3. Envoyez les versions mises à jour des applications concernées.

Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée et vous recevrez une notification par e-mail.

Informations supplémentaires

  1. Pour corriger le problème, mettez à jour votre code d'application de manière à appeler SslErrorHandler.proceed() chaque fois que le certificat présenté par le serveur répond à vos attentes, et à appeler SslErrorHandler.cancel() dans le cas contraire. Tenez compte des points suivants lorsque vous vérifiez la validité du certificat :
    1. Une application peut être signalée si elle ne contient pas suffisamment de vérifications concernant la validité du certificat. Par exemple, la seule vérification de la valeur renvoyée par getPrimaryError ne suffit pas à établir la validité du certificat.

    2. Il n'est pas prudent d'ignorer la plupart des erreurs SSL renvoyées par SslError.getPrimaryError. Sachez que getPrimaryError renvoie l'erreur la plus grave dans un ensemble d'erreurs. Par conséquent, si getPrimaryError() != SSL_UNTRUSTED est défini sur true, il est possible que la connexion contienne encore une erreur SSL_UNTRUSTED dans l'ensemble des erreurs.

  2. Si vous utilisez une bibliothèque tierce responsable de cette faille, veuillez prendre contact avec le tiers concerné pour résoudre le problème.

Pour en savoir plus sur le gestionnaire d'erreur SSL, consultez notre documentation dans le Centre d'aide pour les développeurs Android. Si vous avez d'autres questions techniques, vous pouvez publier un message sur le site https://www.stackoverflow.com/questions en utilisant les tags "android-security" et "SslErrorHandler".

Même si ces problèmes spécifiques n'affectent pas nécessairement toutes les applications qui utilisent le gestionnaire WebView SSL, nous vous recommandons de vous tenir informé des correctifs de sécurité. Les applications qui présentent des failles risquant de compromettre la sécurité des utilisateurs peuvent être considérées comme des produits dangereux qui ne respectent pas le règlement relatif au contenu ni la section 4.4 du Contrat relatif à la distribution (pour les développeurs).

Nous sommes là pour vous aider

Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Pour obtenir des éclaircissements sur la procédure à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance aux développeurs.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
false
Menu principal
17700758741636749111
true
Rechercher dans le centre d'aide
true
true
true
true
true
5016068
false
false