WebView SSL kļūdu apdarinātāja brīdinājumu novēršana lietotnēs

Šis raksts ir paredzēts tādu lietotņu izstrādātājiem, kurās tiek izmantota nedroša WebViewClient.onReceivedSslError apdarinātāja ieviešana.

Problēma

Viena vai vairākas jūsu lietotnes ietver nedrošu onReceivedSslError apdarinātāja ieviešanu, kas padara lietotni neaizsargātu pret vidutāja uzbrukumiem. Uzbrucējs var mainīt ietekmētā WebView komponenta saturu, lasīt pārsūtītos datus (piemēram, pieteikšanās akreditācijas datus) un izpildīt lietotnē kodu, izmantojot valodu JavaScript. Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.

Nepieciešamā rīcība​

1. Pierakstieties savā Play Console kontā un sadaļā Brīdinājumi skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
2. Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
3. Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.

Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.

Papildinformācija

1. Lai novērstu šo problēmu, lūdzu, atjauniniet savu lietotņu kodu, lai ikreiz, kad servera norādītais sertifikāts atbilst jūsu prasībām, tiktu izsaukta metode SslErrorHandler.proceed() un pārējos gadījumos tiktu izsaukta metode SslErrorHandler.cancel(). Lūdzu, ņemiet vērā tālāk minēto informāciju, kad pārbaudāt sertifikāta derīgumu.

   1. Lietotne var tikt atzīmēta kā nepiemērota, ja tajā nav ietvertas pietiekamas sertifikāta derīguma pārbaudes; piemēram, nepietiek ar to, ka pārbaudāt tikai getPrimaryError atgriezes vērtību, lai noteiktu sertifikāta derīgumu.

   2. Nav droši ignorēt lielāko daļu SSL kļūdu, ko atgriež SslError.getPrimaryError. Lūdzu, ņemiet vērā, ka getPrimaryError atgriež kopas nopietnākās kļūdas, tāpēc, ja getPrimaryError() != SSL_UNTRUSTED vērtība ir “true”, savienojums kļūdu kopā joprojām var ietvert SSL_UNTRUSTED kļūdu.

2. Ja izmantojat trešās puses bibliotēku, kas par to ir atbildīga, lūdzu, brīdiniet attiecīgo trešo pusi un palīdziet tai novērst šo problēmu.

Lai iegūtu plašāku informāciju par SSL kļūdu apdarinātāju, skatiet mūsu dokumentāciju Android izstrādātāju palīdzības centrā. Ja jums ir citi tehniski jautājumi, varat tos publicēt vietnē https://www.stackoverflow.com/questions, izmantojot atzīmes “android-security” un “SslErrorHandler”.

Lai gan konkrētās problēmas var neietekmēt visas lietotnes, kurās tiek izmantots WebView SSL, ieteicams lietot visus jaunākos drošības ielāpus. Tādas lietotnes, kuru nepilnības pakļauj lietotājus riskam, var tikt uzskatītas par bīstamiem produktiem, jo ar tām tiek pārkāpta satura politika un izstrādātāja izplatīšanas līguma 4.4. sadaļa.

Mēs jums palīdzēsim

Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.