Die folgenden Informationen richten sich an Entwickler von Apps, deren Implementierung der HostnameVerifier-Oberfläche nicht sicher ist, da sie alle Hostnamen akzeptiert, wenn eine HTTPS-Verbindung zu einem Remote-Host mit setDefaultHostnameVerifier-API hergestellt wird. Dadurch wird die App anfällig für Man-in-the-Middle-Angriffe. Ein Angreifer könnte übertragene Informationen wie Anmeldedaten lesen und sogar die über die HTTPS-Verbindung übertragenen Daten ändern.
Aktuelle Informationen
Google Play blockiert seit dem 1. März 2017 die Veröffentlichung sämtlicher neuer Apps und Updates, die eine unsichere Implementierung von HostnameVerifier verwenden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wird, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Ändern Sie die Überprüfungsmethode in Ihrer benutzerdefinierten HostnameVerifier-Oberfläche zu "return false", wenn ein Hostname des Servers Ihre Anforderungen nicht erfüllt, um eine korrekte Hostname-Überprüfung sicherzustellen.
Beachten Sie, dass Apps der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen müssen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.