Како да реагујете на обавештења у вези са обрађивачем WebView SSL грешака у апликацијама

Овај чланак је намењен програмерима са апликацијама које садрже небезбедну примену обрађивача WebViewClient.onReceivedSslError.

Шта се дешава

Једна или више апликација садржи небезбедну примену обрађивача onReceivedSslError, што чини апликацију подложном посердничком нападу. Нападач може да промени релевантан садржај WebView-а, да чита пренесене податке (попут акредитива за пријављивање) и да примени кôд у апликацији помоћу JavaScript-а. Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.

Треба да реагујете​

1. Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
2. Ажурирајте апликације на које се ово односи и исправите пропусте.
3. Пошаљите ажуриране верзије апликација на које се ово односи.

Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.

Додатне информације

1. Да бисте решили проблем, ажурирајте кôд апликације тако да позивате SslErrorHandler.proceed() кад год сертификат који сервер приказује испуњава очекивања. У супротном, позивајте SslErrorHandler.cancel(). Када проверавате исправност сертификата, имајте на уму:

   1. Апликација може да буде обележена ако не садржи довољно детаљне провере исправности сертификата. На пример, провера која се ограничава на вредност коју приказује getPrimaryError није довољна да утврди исправност сертификата.

   2. Није безбедно игнорисати већину SSL грешака које приказује SslError.getPrimaryError. Имајте на уму да  getPrimaryError приказује најозбиљнију грешку из скупа грешака, па ако је вредност getPrimaryError() != SSL_UNTRUSTED тачна, веза може да садржи и грешку SSL_UNTRUSTED у скупу грешака.

2. Ако користите библиотеку треће стране која је одговорна за ово, обавестите ту страну и сарађујте са њом на решавању овог проблема.

Више информација о обрађивачу SSL грешака потражите у документацији у центру за помоћ за Android програмере. Ако имате других техничких питања, можете да их поставите на https://www.stackoverflow.com/questions помоћу ознака „android-security“ и „SslErrorHandler“.

Иако ови конкретни проблеми можда неће утицати на све апликације које користе WebView SSL, најбоље је да благовремено примењујете све безбедносне закрпе. Апликације са пропустима које кориснике излажу ризику да им садржај буде угрожен сматрају се опасним производима који крше одредбе Смерница за садржај и одељка 4.4 Уговора о дистрибуцији за програмере.

Ту смо да помогнемо

Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте боље разумели кораке које треба да предузмете за решавање овог проблема, обратите се тиму подршке за програмере.