Cómo usar las alertas del controlador de errores SSL de WebView para tus apps

Este artículo está dirigido a programadores que usan en sus apps una implementación del controlador WebViewClient.onReceivedSslError que no es segura. Esta implementación ignora todos los errores de validación del certificado SSL, por lo que las apps son vulnerables a ataques de terceros. Un atacante podría cambiar el contenido de WebView, leer los datos que se transmiten (como las credenciales de acceso) y ejecutar códigos en la app mediante JavaScript.  

A partir del 25 de noviembre de 2016, Google Play bloqueará la publicación de apps nuevas o actualizaciones que contengan esta vulnerabilidad. La versión publicada del APK no cambiará, pero se bloquearán las actualizaciones de la app si no solucionas la vulnerabilidad.

Pasos siguientes

  1. Para solucionar el problema, actualiza el código de tus apps para invocar SslErrorHandler.proceed() cuando el certificado que presente el servidor cumpla con tus requisitos o, de lo contrario, invoca SslErrorHandler.cancel().
  2. Si usas la biblioteca del tercero responsable, comunícate con él y trabajen para solucionar el problema.

  3. Después de hacer los cambios, accede a Developer Console y envía la versión actualizada de tu app. 

  4. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia. Ten en cuenta que el proceso podría demorarse, incluso si reparaste el error de vulnerabilidad de tu app.

Para obtener más información sobre el controlador de errores SSL, consulta nuestra documentación en el Centro de ayuda para programadores de Android. Si tienes preguntas sobre cuestiones técnicas, publícalas en https://www.stackoverflow.com/questions y usa las etiquetas “android-security” y “SslErrorHandler”.

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan WebView SSL, te recomendamos mantener todos los parches de seguridad actualizados. Es posible que las apps con vulnerabilidades que comprometen la seguridad de los usuarios se consideren productos peligrosos que incumplen la Política de contenido y el artículo 4.4 del Acuerdo de distribución para programadores.

Las apps también deben cumplir con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.