अपने ऐप्लिकेशन में वेबव्यू एसएसएल गड़बड़ी हैंडलर की चेतावनियों का पता कैसे लगाएं.

यह लेख उन डेवलपर के लिए जिनके पास ऐसे ऐप्लिकेशन हैं जो WebViewClient.onReceivedSslError हैंडर को लागू करने का असुरक्षित तरीका इस्तेमाल कर रहे हैं.

क्या हो रहा है

आपके एक या एक से ज़्यादा ऐप्लिकेशन में onReceivedSslError हैंडर को लागू करने का असुरक्षित तरीका शामिल है. इससे ऐप्लिकेशन पर मैन-इन-द-मिडल हमलों का जोखिम बढ़ जाता है. हमलावर उस वेबव्यू की सामग्री बदल सकता है जिस पर असर हुआ है, ट्रांसमिट किया गया डेटा (जैसे कि लॉगिन क्रेडेंशियल) पढ़ सकता है, और JavaScript का इस्तेमाल करके ऐप्लिकेशन में कोड लागू कर सकता है. कृपया अपने Play कंसोल में सूचना देखें. आपके Play कंसोल में दिखाई गई समयसीमा के बाद, ऐसे ऐप्लिकेशन को Google Play से हटाया जा सकता है जिनमें सुरक्षा की गड़बड़ियों को ठीक नहीं किया गया है.

कार्रवाई करना ज़रूरी है​

  1. अपने Play कंसोल में साइन इन करें और 'अलर्ट' सेक्शन पर जाकर देखें कि किन ऐप्लिकेशन पर असर हुआ है और इन समस्याओं को ठीक करने की आखिरी तारीखें क्या हैं.
  2. जिन ऐप्लिकेशन पर असर हुआ है उन्हें अपडेट करें और जोखिम की संभावना ठीक करें.
  3. आपके जिन ऐप्लिकेशन पर असर हुआ है उनके अपडेट किए गए वर्शन सबमिट करें.

दोबारा सबमिट करने पर, आपके ऐप्लिकेशन की फिर से समीक्षा की जाएगी. इस प्रक्रिया में कई घंटे लग सकते हैं. अगर ऐप्लिकेशन समीक्षा में पास हो जाता है और प्रकाशित हो जाता है, तो कुछ और करने की ज़रूरत नहीं है. अगर ऐप्लिकेशन समीक्षा में फ़ेल हो जाता है, तो ऐप्लिकेशन का नया वर्शन प्रकाशित नहीं किया जाएगा और आपको ईमेल से इसकी सूचना मिल जाएगी.

कुछ और जानकारी

  1. समस्या को ठीक करने के लिए जब भी सर्वर से मिला हुआ प्रमाणपत्र आपकी उम्मीदों पर खरा उतरे तब कृपया अपने ऐप्लिकेशन कोड अपडेट करके SslErrorHandler.proceed() को शुरू करें. अगर ऐसा नहीं है, तो इसके बजाय SslErrorHandler.cancel() को शुरू करें. यह जांचते समय कि प्रमाणपत्र कब तक मान्य है, कृपया इन चीज़ों का ध्यान रखें:

    1. अगर प्रमाणपत्र के मान्य होने की जांच करते समय ज़रूरी चीज़ें नहीं की जाती हैं, तो ऐप्लिकेशन की शिकायत की जा सकती है. उदाहरण के लिए, प्रमाणपत्र के मान्य होने की जांच करते समय सिर्फ़ getPrimaryError के रिटर्न मान की जांच करना काफ़ी नहीं है.

    2. SslError.getyError से मिली एसएसएल की ज़्यादातर गड़बड़ियों को नज़रअंदाज़ करना सुरक्षित नहीं है.कृपया ध्यान दें कि getPrimaryError गड़बड़ियों के सेट में सबसे गंभीर गड़बड़ी वापस भेजता है. इसलिए, अगर getPrimaryError() != SSL_UNTRUSTED सही है, तो कनेक्शन में गड़बड़ियों के सेट में कोई SSL_UNTRUSTED गड़बड़ी हो सकती है.

  2. अगर आप तीसरे पक्ष की ऐसी लाइब्रेरी का इस्तेमाल कर रहे हैं जो इसके लिए ज़िम्मेदार है, तो कृपया गड़बड़ी के बारे में तीसरे पक्ष को जानकारी दें. साथ ही, गड़बड़ी ठीक करने के लिए उनके साथ मिलकर काम करें.

एसएसएल गड़बड़ी हैंडलर के बारे में ज़्यादा जानकारी के लिए कृपया Android डेवलपर सहायता केंद्र में हमारा दस्तावेज़ देखें. दूसरे तकनीकी सवालों के लिए, आप https://www.stackoverflow.com/questions पर पोस्ट कर सकते हैं. साथ ही, “android-security” और “SslErrorHandler” टैग का इस्तेमाल कर सकते हैं.

हालांकि, इस तरह की खास गड़बड़ियां शायद ऐसे हर ऐप्लिकेशन पर असर न डालें जो वेबव्यू एसएसएल का इस्तेमाल करते हैं. हर तरह के सुरक्षा पैच को अपडेट करना हमेशा से बेहतर तरीका होता है. गड़बड़ियों वाले ऐप्लिकेशन जो उपयोगकर्ताओं की सुरक्षा को खतरे में डालते हैं उन्हें डेवलपर वितरण अनुबंध के सेक्शन 4.4 और सामग्री नीति का उल्लंघन करने वाला खतरनाक उत्पाद माना जा सकता है.

हम सहायता के लिए उपलब्ध हैं

अगर आप जोखिम से जुड़े तकनीकी सवाल पूछना चाहते हैं, तो आप Stack Overflow पर पोस्ट कर सकते हैं और “android-security” टैग का इस्तेमाल कर सकते हैं. इस समस्या को ठीक करने के लिए आपको जो कदम उठाने हैं उनके बारे में ज़्यादा जानकारी के लिए, आप हमारी डेवलपर सहायता टीम से संपर्क कर सकते हैं.

false
मुख्य मेन्यू
17732387302889321214
true
खोज मदद केंद्र
true
true
true
true
true
5016068
false
false