Denne informasjonen er beregnet på utviklere som har apper med en usikker implementering av HostnameVerifier, hvor alle vertsnavn godtas når HTTPS-tilkoblinger opprettes til eksterne vertstjenester med setDefaultHostnameVerifier API. Denne implementeringen gjør appene sårbare for «man-in-the-middle»-angrep. Angripere kan potensielt lese dataene som overføres (for eksempel påloggingslegitimasjon), og til og med endre disse dataene via HTTPS-tilkoblingen.
Hva skjer?
Fra og med 1. mars 2017 begynte Google Play å blokkere publisering av nye apper eller oppdateringer som bruker en usikker implementering av HostnameVerifier. Les varselet i Play Console. Alle apper som inneholder uløste sikkerhetsproblemer, kan bli fjernet fra Google Play etter tidsfristene som vises i Play Console.
Handling kreves
- Logg på Play Console og gå til Varsler-delen for å se hvilke apper som er berørt, samt tidsfristene for å løse de aktuelle problemene.
- Oppdater de berørte appene, og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis appene godkjennes etter gjennomgangen og publiseres, trenger du ikke gjøre noe mer. Hvis de ikke godkjennes, blir ikke de nye appversjonene publisert, og du mottar et varsel via e-post.
Flere detaljer
For å håndtere bekreftelse av vertsnavn på riktig måte må du endre bekreftelsesmåten i det tilpassede HostnameVerifier-grensesnittet ditt, sånn at den gjengir en usann verdi når tjenerens vertsnavn ikke oppfyller kravene dine.
Vær oppmerksom på at apper også må være i samsvar med distribusjonsavtalen for utviklere og retningslinjene for innhold.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.