Håndtering af advarsler fra SSL-fejlhandleren for Webvisning i dine apps

Denne artikel er tiltænkt udvilklere med apps, der bruger en usikker implementering af handleren WebViewClient.onReceivedSslError.

Hvad sker der?

En eller flere af dine apps indeholder en usikker implementering af handleren onReceivedSslError, hvilket gør appen sårbar overfor mellemmandsangreb. En hacker kan ændre indholdet i den påvirkede Webvisning, læse overførte data (f.eks. loginoplysninger) og køre kode i appen via JavaScript. Få flere oplysninger ved at gå til meddelelsen i Play Console. Efter de tidsfrister, der vises i Play Console, kan alle apps med sikkerhedsbrister, som ikke er rettet, blive fjernet fra Google Play.

Påkrævet handling​

1. Log ind i Play Console, og gå til afsnittet Underretninger for at se, hvilke apps der er berørt, og tidsfristerne for at løse disse problemer.
2. Opdater dine berørte apps, og ret sikkerhedsbristen.
3. Indsend de opdaterede versioner af de berørte apps.

Din app gennemgås på ny, når du indsender den igen. Dette kan tage flere timer. Hvis appen består gennemgangen og udgives korrekt, skal du ikke gøre mere. Hvis appen ikke består gennemgangen, udgives den nye appversion ikke, og du modtager en notifikation via mail.

Yderligere oplysninger

1. Du kan rette problemet ved at opdatere koden i din app, så den kalder SslErrorhandler.proceed(), når det certifikat, der præsenteres af serveren, lever op til dine forventninger, og aktiverer SslErrorHandler.cancel(), hvis det ikke gør. Overvej følgende punkter, når du tjekker, om et certifikat er gyldigt:

   1. En app kan blive rapporteret, hvis den ikke indeholder tilstrækkelige tjek af et certifikats gyldighed. Det er f.eks. ikke nok at tjekke returværdien af getPrimaryError for at vurdere, om certifikatet er gyldigt.

   2. Det er ikke sikkert at ignorere de fleste SSL-fejl, der returneres af SslError.getPrimaryError. Bemærk! getPrimaryError returnerer den mest alvorlige fejl i et sæt af fejl, så hvis getPrimaryError() != SSL_UNTRUSTED er sand, indeholder forbindelsen muligvis stadig en SSL_UNTRUSTED-fejl i sættet af fejl.

2. Hvis du bruger et tredjepartsbibliotek, som forårsager problemet, skal du underrette tredjeparten og samarbejde med denne om at finde en løsning på problemet.

Du finder flere oplysninger om SSL-fejlhandleren i vores dokumentation i Hjælp til Android-udviklere. Hvis du har andre tekniske spørgsmål, kan du skrive dem i et indlæg på https://www.stackoverflow.com/questions og bruge taggene "android-security" og "SslErrorHandler".

Selvom disse problemer måske ikke påvirker alle de apps, der anvender Webvisnings-SSL, er det en god idé at opdatere med alle sikkerhedsrettelser. Apps med sikkerhedsbrister, som udsætter brugerne for at blive kompromitteret, kan betragtes som farlige produkter, hvilket er i strid med indholdspolitikken og afsnit 4.4 i distributionsaftalen for udviklere.

Vi er klar til at hjælpe dig

Hvis du har tekniske spørgsmål om sikkerhedsbristen, kan du skrive dem i et indlæg på Stack Overflow og bruge tagget "android-security". Hvis du vil have hjælp til, hvordan du løser problemet, kan du kontakte vores supportteam til udviklere.