Estas informações destinam-se a programadores com aplicações que utilizam uma implementação insegura da interface HostnameVerifier, que aceita todos os nomes de anfitrião ao estabelecer uma ligação HTTPS a um anfitrião remoto com a API setDefaultHostnameVerifier. Esta implementação torna a aplicação vulnerável a ataques de intrusos. Existe a possibilidade de um atacante ler dados transmitidos (como credenciais de início de sessão) e inclusivamente alterar os dados transmitidos na ligação HTTPS.
O que está a acontecer
A partir de 1 de março de 2017, o Google Play começou a bloquear a publicação de novas aplicações ou atualizações que utilizem uma implementação insegura da HostnameVerifier. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
Para processar corretamente a validação do nome do anfitrião, altere o método de validação na sua interface personalizada HostnameVerifier para devolver um resultado falso sempre que o nome do anfitrião do servidor não cumprir as expetativas.
As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.