Nämä tiedot on tarkoitettu kehittäjille, joiden sovellukset käyttävät HostnameVerifier-käyttöliittymää turvattomalla tavalla. Tämä tarkoittaa sitä, että käyttöliittymä hyväksyy kaikki isäntänimet muodostaessaan HTTPS-yhteyttä setDefaultHostnameVerifier-sovellusliittymän sisältävään etäpalvelimeen. Tämä voi altistaa sovelluksesi välistävetohyökkäyksille. Hyökkääjä saattaa nähdä lähetettyjä tietoja, esimerkiksi käyttäjätunnuksia, ja jopa muuttaa HTTPS-yhteydellä lähetettyjä tietoja.
Mistä on kyse?
1.3.2017 alkaen Google Play alkoi estää kaikkien sellaisten sovellusten tai päivitysten julkaisun, jotka käyttävät HostnameVerifieria turvattomalla tavalla. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset saatetaan poistaa Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
Jotta isäntänimen vahvistus tapahtuu oikein, vaihda vahvistustavan asetuksia räätälöidyssä HostnameVerifier-käyttöliittymässä niin, että se palauttaa epätosi-arvon, kun palvelimen isäntänimi ei vastaa odotuksiasi.
Sovellusten täytyy noudattaa myös kehittäjien jakelusopimusta ja sisältökäytäntöä.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.