Como lidar com alertas do gerenciador de erros de SSL do WebView em seus apps.

Este artigo é destinado a desenvolvedores que usam uma implementação não segura do gerenciador WebViewClient.onReceivedSslError em apps. Mais especificamente, a implementação ignora todos os erros de validação do certificado SSL, deixando o app vulnerável a ataques man-in-the-middle. Um invasor poderia alterar o conteúdo do WebView afetado, ler dados transmitidos (como credenciais de login) e executar código no app usando JavaScript.  

O que está acontecendo

A partir de 25 de novembro de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações com essa vulnerabilidade. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

  1. Para corrigir o problema, atualize o código do seu app de modo que ele chame SslErrorHandler.proceed() quando o certificado apresentado pelo servidor atender às suas expectativas ou SslErrorHandler.cancel() quando isso não acontecer.
  2. Caso você use uma biblioteca de terceiros que é responsável por isso, notifique-os e trabalhe com eles para resolver o problema.

Para mais informações sobre o gerenciador de erros de SSL, consulte nossa documentação na Central de Ajuda do desenvolvedor Android (em inglês). Caso tenha outras dúvidas técnicas, poste em https://www.stackoverflow.com/questions (em inglês) e use as tags "android-security" e "SslErrorHandler".

Ainda que esses problemas específicos não afetem todos os apps que usam o SSL do WebView, recomendamos manter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos perigosos que violam a política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?