Cosa fare con gli avvisi del gestore degli errori WebView SSL nelle tue app.

Questo articolo è rivolto agli sviluppatori con app che utilizzano un'implementazione non sicura del gestore WebViewClient.onReceivedSslError.

Situazione attuale

Una o più delle tue app presentano un'implementazione non sicura del gestore onReceivedSslError, che rende l'app vulnerabile agli attacchi man-in-the-middle. Un malintenzionato potrebbe modificare i contenuti WebView interessati, leggere i dati trasmessi (ad esempio le credenziali di accesso) ed eseguire codice all'interno dell'app utilizzando JavaScript. Consulta la notifica sulla Play Console. Dopo le scadenze indicate nella Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.

Azione richiesta

1. Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
2. Aggiorna le app interessate e correggi la vulnerabilità.
3. Invia le versioni aggiornate delle app interessate.

Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.

Ulteriori dettagli

1. Per risolvere il problema, aggiorna il codice delle app per richiamare SslErrorHandler.proceed() quando il certificato presentato dal server soddisfa le tue aspettative e per richiamare SslErrorHandler.cancel() negli altri casi. Quando controlli la validità del certificato, tieni presenti le considerazioni che seguono:

   1. Un'app potrebbe essere segnalata se non contiene controlli sufficienti per la validità del certificato; ad esempio, la semplice verifica del valore restituito da getPrimaryError non è sufficiente per stabilire la validità del certificato.

   2. Non è sicuro ignorare la maggior parte degli errori SSL restituiti da SslError.getPrimaryError. Tieni presente che getPrimaryError restituisce l'errore più grave dell'insieme di errori, pertanto se il valore getPrimaryError() != SSL_UNTRUSTED risulta true, la connessione può comunque contenere un errore SSL_UNTRUSTED nell'insieme di errori.

2. Se utilizzi una libreria di terze parti responsabile di questo comportamento, informa la terza parte e risolvete insieme il problema.

Per ulteriori informazioni sul gestore degli errori SSL, consulta la nostra documentazione nel Centro assistenza per gli sviluppatori Android. Puoi pubblicare altre domande tecniche sul sito https://www.stackoverflow.com/questions utilizzando i tag "android-security" e "SslErrorHandler."

Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza WebView SSL, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app con vulnerabilità che mettono a rischio la sicurezza degli utenti potrebbero essere considerate prodotti pericolosi in violazione delle Norme relative ai contenuti e della sezione 4.4 del Contratto di distribuzione per gli sviluppatori.

Siamo qui per aiutarti

Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow utilizzando il tag “android-security.” Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per sviluppatori.