מידע זה מיועד למפתחים של אפליקציות שמשתמשות ביישום לא בטוח של הממשק HostnameVerifier. הממשק מאשר את כל שמות המארחים בעת יצירת חיבור HTTPS למארח מרוחק באמצעות ה-API setDefaultHostnameVerifier. כך, האפליקציה חשופה למתקפות מסוג Man-in-the-middle. תוקף עלול לקרוא נתונים משודרים (כגון פרטי כניסה והתחברות) ואף לשנות את הנתונים המועברים בחיבור HTTPS.
מה קורה?
החל מ-1 במרץ 2017, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים ביישום לא בטוח של HostnameVerifier. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
כדי לטפל כראוי באימות של שמות מארחים, שנה את שיטת האימות בממשק המותאם אישית של HostnameVerifier, כך שיוחזר הערך False כששם המארח של השרת לא עומד בציפיות שלך.
שימו לב שהאפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.