Te informacje są przeznaczone dla deweloperów, których aplikacje korzystają z niebezpiecznej implementacji interfejsu HostnameVerifier. Akceptuje on wszystkie nazwy hostów podczas nawiązywania połączenia HTTPS z hostem zdalnym używającym interfejsu API setDefaultHostnameVerifier, przez co aplikacja może być podatna na ataki typu „man-in-the-middle”. Atakujący może odczytać dane przesyłane przy użyciu protokołu HTTPS (takie jak dane logowania), a nawet je zmodyfikować.
O co chodzi?
Od 1 marca 2017 roku Google Play blokuje publikowanie nowych aplikacji i aktualizacji, które używają niebezpiecznej implementacji interfejsu HostnameVerifier. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Aby weryfikacja nazw hostów działała prawidłowo, zmień metodę weryfikacji we własnym interfejsie HostnameVerifier tak, by nie akceptował nazw hostów, które nie spełniają Twoich oczekiwań.
Pamiętaj, że aplikacje muszą być też zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności potrzebnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.