Estas informações são destinadas a desenvolvedores de apps que usam uma implementação não segura da interface HostnameVerifier. Essa implementação aceita todos os nomes de host ao estabelecer uma conexão HTTPS a um host remoto com a API setDefautlHostnameVerifier e deixa o app vulnerável a ataques man-in-the-middle. Um invasor pode ler dados transmitidos, como credenciais de login, e até mesmo alterar os dados transmitidos na conexão HTTPS.
O que está acontecendo
A partir de 1º de março de 2017, o Google Play bloqueou a publicação de novos apps ou atualizações que usam implementações não seguras do HostnameVerifier. Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.
Ação necessária
- Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
- Atualize esses apps e corrija a vulnerabilidade.
- Envie as versões atualizadas dos apps afetados.
Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.
Detalhes adicionais
Para tratar adequadamente a verificação de nome do host, altere o método verify da sua interface personalizada HostnameVerifier para que retorne falso sempre que o nome do host do servidor não atender às suas expectativas.
Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a política de conteúdo.
Estamos aqui para ajudar
Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.