Ця інформація призначена для розробників додатків, які використовують ненадійну версію інтерфейсу HostnameVerifier. Ця версія приймає всі імена хостів, коли встановлює з’єднання HTTPS із віддаленим хостом через API setDefaultHostnameVerifier. У результаті додаток стає вразливим до хакерських атак. Зловмисник може перехопити дані під час передавання (наприклад, облікові дані) і змінити інформацію, яка передається через з’єднання HTTPS.
У чому проблема
З 1 березня 2017 року в Google Play не публікуються додатки й оновлення з ненадійною версією HostnameVerifier. Ознайомтеся зі сповіщенням у Play Console. Після кінцевих термінів, указаних у Play Console, додатки з уразливими елементами може бути видалено з Google Play.
Що потрібно зробити
- Увійдіть в обліковий запис Play Console і перейдіть у розділ "Сповіщення", щоб переглянути, які додатки уражено та які терміни вирішення цих проблем.
- Оновіть уражені додатки й усуньте вразливі елементи.
- Надішліть оновлені версії цих додатків.
Коли ви надішлете оновлені версії, ми знову перевіримо їх. Це може тривати кілька годин. Якщо додаток пройде перевірку та його буде опубліковано, виконувати додаткові дії не потрібно. Якщо додаток не пройде перевірку, його нову версію не буде опубліковано й ви отримаєте відповідне сповіщення електронною поштою.
Додаткова інформація
Змініть спосіб підтвердження імен хостів у своєму інтерфейсі HostnameVerifier так, щоб відображалося значення false, якщо ім’я хосту сервера не відповідає очікуванням.
Зауважте, що додатки також мають відповідати положенням Договору розробника про розповсюдження та Політики щодо вмісту.
Ми завжди раді допомогти
Якщо у вас є інші технічні запитання про вразливості, опублікуйте їх на сайті Stack Overflow з тегом android-security. Щоб дізнатися більше про дії для вирішення цієї проблеми, зв’яжіться зі службою підтримки розробників.