Kaip elgtis su žiniatinklio rodinio SSL klaidų doroklės įspėjimais programose.

Šis straipsnis skirtas kūrėjams, kurių programoje (-ose) naudojamas nesaugus „WebViewClient.onReceivedSslError“ doroklės diegimas.

Kas vyksta

Mažiausiai vienoje jūsų programoje yra nesaugus „onReceivedSslError“ doroklės diegimas, todėl programa pažeidžiama duomenų nuskaitymo atakos atveju. Užpuolikas galėtų pakeisti paveikto žiniatinklio rodinio turinį, skaityti perduotus duomenis (pvz., prisijungimo duomenis) ir įforminti kodą programoje naudodamas „JavaScript“. Žr. pranešimą sistemoje „Play Console“. Praėjus „Play Console“ nurodytiems terminams, programos, kuriose yra nepataisytų saugos pažeidimų, gali būti pašalintos iš „Google Play“.

Būtini veiksmai​

1. Prisijunkite prie „Play Console“ ir nuėję į skiltį „Įspėjimai“ peržiūrėkite, kurios programos yra paveiktos ir iki kada reikia išspręsti šias problemas.
2. Atnaujinkite paveiktas programas ir pataisykite pažeidimą.
3. Pateikite atnaujintas paveiktų programų versijas.

Pateikus iš naujo, programa bus peržiūrėta dar kartą. Tai gali užtrukti kelias valandas. Jei programa po peržiūros įvertinama kaip tinkama ir sėkmingai paskelbiama, kitų veiksmų imtis nereikia. Jei programa po peržiūros įvertinama kaip netinkama, nauja jos versija skelbiama nebus, o jūs gausite pranešimą el. paštu.

Papildoma informacija

1. Jei norite išspręsti šią problemą, atnaujinkite savo programų kodą, kad būtų iškviestas „SslErrorHandler.proceed()“, kai serverio pateiktas sertifikatas atitiks jūsų lūkesčius, o priešingu atveju būtų iškviestas „SslErrorHandler.cancel()“. Tikrindami sertifikato galiojimą atminkite toliau nurodytus dalykus.

   1. Programa gali būti pažymėta, jei joje nėra pakankamai sertifikato galiojimo patikrų. Pvz., nepakanka tik patikrinti „getPrimaryError“ grįžtamąją vertę sertifikato galiojimui nustatyti.

   2. Nėra saugu nepaisyti daugelio SSL klaidų, kurias pateikia „SslError.getPrimaryError“. Atminkite, kad „getPrimaryError“ pateikia svarbiausią klaidą klaidų rinkinyje, todėl jei getPrimaryError() != SSL_UNTRUSTED yra tiesa, vis tiek gali būti ryšio klaida SSL_UNTRUSTED klaidų rinkinyje.

2. Jei naudojate trečiosios šalies biblioteką, dėl kurios kyla ši problema, informuokite trečiąją šalį apie šią problemą ir kartu ją išspręskite.

Jei reikia daugiau informacijos apie SSL klaidų doroklę, žr. dokumentaciją, pateiktą „Android“ kūrėjų pagalbos centre. Jei kils kitų techninių klausimų, juos galite paskelbti adresu https://www.stackoverflow.com/questions naudodami žymas „android-security“ ir „SslErrorHandler“.

Šios konkrečios problemos gali turėti įtakos ne kiekvienai „WebView SSL“ naudojančiai programai, bet geriausia įdiegti visas naujausias saugos pataisas. Pažeistos programos, keliančios grėsmę naudotojų saugai, gali būti laikomos pavojingais produktais, pažeidžiančiais turinio politiką ir Kūrėjų platinimo sutarties 4.4 skiltį.

Esame pasirengę padėti

Jei kyla su pažeidimais susijusių techninių klausimų, galite juos paskelbti „Stack Overflow“ naudodami žymą „android-security“. Jei reikia daugiau informacijos apie veiksmus, kuriuos turite atlikti, kad išspręstumėte šią problemą, galite susisiekti su mūsų kūrėjų palaikymo komanda.