Informasi ini ditujukan bagi developer dengan aplikasi yang menggunakan penerapan antarmuka HostnameVerifier tidak aman, yang menerima semua hostname saat melakukan sambungan HTTPS ke host jarak jauh dengan API setDefaultHostnameVerifier. Penerapan ini membuat aplikasi rentan terhadap serangan man-in-the-middle. Penyerang dapat berpotensi membaca data yang ditransmisikan (seperti kredensial login) dan bahkan mengubah data yang ditransmisikan di sambungan HTTPS.
Yang terjadi
Mulai tanggal 1 Maret 2017, Google Play memblokir publikasi update atau aplikasi baru apa pun yang menggunakan penerapan tidak aman untuk HostnameVerifier. Lihat pemberitahuan di Play Console. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang tidak diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
Untuk menangani verifikasi hostname dengan tepat, ubah metode verify pada antarmuka HostnameVerifier kustom agar memunculkan false jika hostname server tidak sesuai dengan yang diharapkan.
Perhatikan bahwa aplikasi harus mematuhi Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan guna menyelesaikan masalah ini, Anda dapat menghubungi tim dukungan developer.