Deze informatie is bedoeld voor ontwikkelaars met apps waarin een onveilige implementatie van de HostnameVerifier-interface wordt gebruikt. Hierin worden alle hostnamen geaccepteerd wanneer een HTTPS-verbinding met een externe host tot stand wordt gebracht via de setDefaultHostnameVerifier API. Hierdoor wordt uw app kwetsbaar voor man-in-the-middle-aanvallen. Een aanvaller zou overgedragen gegevens (zoals inloggegevens) kunnen lezen en zelfs de gegevens kunnen wijzigen die worden verzonden via de HTTPS-verbinding.
Wat er gebeurt
Vanaf 1 maart 2017 blokkeert Google Play de publicatie van nieuwe apps of updates die een onveilige implementatie van HostnameVerifier gebruiken. Bekijk de melding in uw Play Console. Na de deadlines die worden weergegeven in uw Play Console, kunnen apps met niet-opgeloste beveiligingsproblemen worden verwijderd uit Google Play.
Vereiste actie
- Log in bij de Play Console en navigeer naar het gedeelte Meldingen om te zien welke apps het betreft en wat de deadlines zijn om deze problemen op te lossen.
- Update de betreffende apps en verhelp de kwetsbaarheid.
- Dien de geüpdatete versies van de betreffende apps in.
Nadat uw app opnieuw is ingediend, wordt deze opnieuw beoordeeld. Dit proces kan enkele uren duren. Als de app is goedgekeurd en is gepubliceerd, hoeft u verder geen actie te ondernemen. Als de app niet wordt goedgekeurd, wordt de nieuwe app-versie niet gepubliceerd en ontvangt u een e-mailmelding.
Aanvullende details
Als u de hostnaamverificatie op een goede manier wilt verwerken, moet u de methode verify in uw aangepaste HostnameVerifier-interface wijzigen zodat 'false' (onwaar) wordt geretourneerd wanneer de hostnaam van de server niet aan de verwachtingen voldoet.
Apps moeten ook voldoen aan de distributieovereenkomst voor ontwikkelaars en het contentbeleid.
We helpen u graag
Als u technische vragen over de kwetsbaarheid heeft, kunt u een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons supportteam voor ontwikkelaars voor meer informatie over de stappen die u moet uitvoeren om dit probleem op te lossen.