Tieto informácie sú určené pre vývojárov s aplikáciami používajúcimi nezabezpečenú implementáciu rozhrania HostnameVerifier, ktoré pri nadväzovaní pripojenia HTTPS so vzdialeným hostiteľom pomocou rozhrania setDefaultHostnameVerifier API akceptuje všetky názvy hostiteľov. Táto implementácia spôsobuje, že aplikácie sú nechránené voči útokom typu „Man in the middle“. Útočníci teda môžu potenciálne čítať prenášané údaje (napríklad prihlasovacie údaje) a dokonca zmeniť údaje prenášané prostredníctvom pripojenia HTTPS.
Čo sa deje
Od 1. marca 2017 začala služba Google Play blokovať zverejňovanie všetkých nových aplikácií a aktualizácií, ktoré používajú nezabezpečenú implementáciu rozhrania HostnameVerifier. Informácie nájdete v oznámení v službe Play Console. Po termínoch uvedených v službe Play Console z nej môžu byť odstránené všetky aplikácie s nevyriešenými chybami zabezpečenia.
Vyžaduje sa akcia
- Prihláste sa do služby Play Console, prejdite do časti Upozornenia a zistite termíny, dokedy treba problémy vyriešiť, a aplikácie, ktorých sa to týka.
- Aktualizujte príslušné aplikácie a chybu zabezpečenia odstráňte.
- Odošlite aktualizované verzie dotyčných aplikácií.
Po opätovnom odoslaní bude vaša aplikácia znova skontrolovaná. Tento proces môže trvať niekoľko hodín. Ak aplikácia úspešne prejde kontrolou a bude zverejnená, nie je potrebné vykonať žiadne ďalšie kroky. Ak aplikácia neprejde kontrolou, jej nová verzia sa nezverejní a dostanete upozornenie e‑mailom.
Ďalšie podrobnosti
Ak chcete správne spracovávať overenie názvov hostiteľov, zmeňte spôsob overenia vo vašom prispôsobenom rozhraní HostnameVerifier, aby vracal odpovede typu False, keď názov hostiteľa príslušného servera nespĺňa vaše požiadavky.
Upozorňujeme, že aplikácie tiež musia byť v súlade s distribučnou zmluvou pre vývojárov a pravidlami pre obsah.
Sme tu pre vás
V prípade technických otázok týkajúcich sa tejto chyby zabezpečenia môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku android-security. Ak potrebujete ďalšie vysvetlenie postupu na vyriešenie tohto problému, kontaktujte tím podpory pre vývojárov.