Neaizsargātas saskarnes HostnameVerifier labošana

Šī informācija ir paredzēta izstrādātājiem, kuru lietotnē(-ēs) tiek izmantota neaizsargāta saskarne HostnameVerifier, kas izveido HTTPS savienojumu ar attālu saimniekdatoru, lietojot setDefaultHostnameVerifier API, un apstiprina visus saimniekdatoru nosaukumus. Tādējādi lietotne nav aizsargāta pret vidutāja uzbrukumiem. Uzbrucējs var nolasīt pārsūtītos datus (piemēram, pieteikšanās akreditācijas datus) vai pat mainīt HTTPS savienojumā sūtītos datus.

Problēma

Sākot no 2017. gada 1. marta, pakalpojumā Google Play tiek liegta jebkuru jaunu lietotņu vai atjauninājumu publicēšana, kuros tiek izmantota neaizsargāta saskarne HostnameVerifier. Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.

Nepieciešamā rīcība​

  1. Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
  2. Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
  3. Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.

Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.

Papildinformācija

Mainiet verificēšanas metodi savā pielāgotajā saskarnē HostnameVerifier, lai gadījumos, kad servera saimniekdatora nosaukums neatbilst prasībām, tiktu atgriezta vērtība “false” un tādējādi saimniekdatora nosaukuma verifikācija tiktu veikta pareizi.

Ņemiet vērā, ka lietotnēm ir arī jāatbilst izstrādātāja izplatīšanas līgumam un satura politikai.

Mēs jums palīdzēsim

Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.

false
Galvenā izvēlne
3128028938465275314
true
Meklēšanas palīdzības centrs
true
true
true
true
true
5016068
false
false