Sovellusten WebView SSL ‑virheidenkäsittelijän ilmoitusten korjaaminen

Tämä artikkeli on tarkoitettu kehittäjille, joiden sovellukset käyttävät WebViewClient.onReceivedSslError-käsittelijää turvattomalla tavalla.

Mistä on kyse?

Yksi tai useampi sovelluksesi käyttää onReceivedSslError-käsittelijää turvattomalla tavalla, mikä altistaa sovelluksen välistävetohyökkäyksille. Hakkeri voi muuttaa haavoittuvan WebView'n sisältöä, lukea lähetettyä dataa (kuten kirjautumistunnuksia) ja suorittaa koodia sovelluksessa JavaScriptin avulla. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset saatetaan poistaa Google Playsta.

Edellyttää toimenpiteitä

1. Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
2. Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
3. Lähetä sovellusten päivitetyt versiot.

Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.

Lisätietoja

1. Korjaa ongelma määrittämällä sovelluksesi koodi käynnistämään SslErrorHandler.proceed() silloin, kun palvelimen esittämä varmenne vastaa odotuksiasi, ja jos ei, käynnistä SslErrorHandler.cancel(). Muista seuraavat asiat, kun tarkistat varmenteen kelvollisuutta:

   1. Sovellus saatetaan merkitä ongelmalliseksi, jos se ei tarkista varmenteiden kelvollisuutta riittävästi. Esimerkiksi pelkän getPrimaryError-arvon tarkistaminen ei riitä varmenteen kelvollisuuden varmistamiseen.

   2. On vaarallista ohittaa useimmat SslError.getPrimaryError:n palauttamat SSL-virheet. Huomaa, että  getPrimaryError palauttaa virhejoukon vakavimman virheen, joten jos getPrimaryError() != SSL_UNTRUSTED on tosi, yhteyden virhejoukossa voi silti olla SSL_UNTRUSTED-virhe.

2. Jos käytät tästä vastuussa olevaa kolmannen osapuolen kirjastoa, ota yhteyttä kyseiseen kolmanteen osapuoleen asian ratkaisemiseksi.

Jos haluat lisätietoja SSL-virheidenkäsittelijästä, lue dokumentaatiomme Android-kehittäjien ohjekeskuksessa. Jos sinulla on muita teknisiä kysymyksiä, voit esittää niitä osoitteessa https://www.stackoverflow.com/questions. Lisää kysymykseesi tagit android-security ja SslErrorHandler.

Vaikka nämä ongelmat eivät välttämättä koske kaikkia WebView SSL:ää käyttäviä sovelluksia, suosittelemme kaikkien tietoturvakorjauksien käyttöönottoa. Jos sovelluksessa on käyttäjille mahdollisesti haitallisia haavoittuvuuksia, sitä voidaan pitää vaarallisena tuotteena, joka rikkoo sisältökäytäntöä ja kehittäjien jakelusopimuksen kohtaa 4.4.

Autamme mielellämme

Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja ongelman ratkaisun vaiheista, voit ottaa yhteyttä kehittäjien tukitiimiimme.