Uygulamalarınızdaki WebView SSL Hata İşleyici uyarılarını düzeltme.

Bu makale, WebViewClient.onReceivedSslError işleyicinin güvenli olmayan bir şekilde kullanıldığı uygulamalara sahip geliştiriciler için hazırlanmıştır.

Neler oluyor?

Bir veya daha fazla uygulamanız, onReceivedSslError işleyicinin güvenli olmayan bir şekilde kullanımını içermektedir ve bu da uygulamayı ortadaki adam (man-in-the-middle) saldırılarına açık hale getirmektedir. Bir saldırgan, bundan etkilenen WebView içeriğini değiştirebilir, giriş kimlik bilgileri gibi iletilen verileri okuyabilir ve JavaScript kullanarak uygulama içinde kod çalıştırabilir. Lütfen Play Console hesabınızdaki bildirime bakın. Play Console hesabınızda gösterilen son tarihlerden sonra, düzeltilmemiş güvenlik açığı içeren tüm uygulamalar Google Play'den kaldırılacaktır.

Yapılması gerekenler

1. Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
2. Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
3. Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.

Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.

Ek ayrıntılar

1. Sorunu düzeltmek için lütfen uygulama kodunuzda güncelleme yaparak sunucunun yayınladığı sertifikanın beklentinizi karşılayan bir sertifika olduğu her durumda SslErrorHandler.proceed() yöntemini, aksi takdirde SslErrorHandler.cancel() yöntemini çağırmasını sağlayın. Sertifikanın geçerliliğini kontrol ederken lütfen şu noktaları aklınızda bulundurun:

   1. Bir uygulama, sertifika geçerliliği için yeterli kontroller içermiyorsa işaretlenebilir. Örneğin, getPrimaryError için sadece döndürülen değerin kontrol edilmesi, sertifikanın geçerliliğini belirlemek için yeterli değildir.

   2. SslError.getPrimaryError tarafından döndürülen çoğu SSL hatasını yok saymak güvenli değildir. GetPrimaryError tarafından bir hata kümesindeki en ciddi hatanın döndürüldüğünü lütfen unutmayın. Dolayısıyla getPrimaryError()!= SSL_UNTRUSTED true (doğru) değerine sahipse bağlantı hata kümesinde hâlâ SSL_UNTRUSTED hatası içeriyor olabilir.

2. Bundan sorumlu bir 3. taraf kitaplığı kullanıyorsanız lütfen bu durumu ilgili 3. tarafa bildirin ve sorunu çözmek için kendileriyle birlikte çalışın.

SSL hata işleyici hakkında daha fazla bilgi edinmek için lütfen Android Geliştiricileri Yardım Merkezi'ndeki dokümanlarımıza bakın. Diğer teknik sorularınızı "android-security" ve "SslErrorHandler" etiketlerini kullanarak https://www.stackoverflow.com/questions sayfasında yayınlayın.

Bu belirli sorunlar, WebView SSL'yi kullanan her uygulamayı etkilemese de, tüm güvenlik yamalarıyla uygulamanın güncel kalmasını sağlamak en iyi yoldur. İçerdikleri güvenlik açıkları nedeniyle kullanıcıları güvenlik risklerine maruz bırakan uygulamalar, İçerik Politikası'nı ve Geliştirici Dağıtım Sözleşmesi'nin 4.4 numaralı bölümünü ihlal eden tehlikeli ürünler olarak değerlendirilebilir.

Yardıma hazırız

Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili sorunuz olursa geliştirici destek ekibimize ulaşabilirsiniz.