هذه المعلومات مفيدة لمطوّري البرامج الذين لديهم تطبيقات تستخدم واجهة HostnameVerifier بشكل غير آمن، حيث تقبل هذه الواجهة كل أسماء المضيفات عند إنشاء اتصال HTTPS بمضيف بعيد باستخدام واجهة برمجة تطبيقات setDefaultHostnameVerifier. ويؤدي هذا إلى جعل التطبيق عرضة للهجمات الوسيطة. ومن المحتمل أن يتمكن أي مهاجم من قراءة البيانات المنقولة (مثل بيانات اعتماد تسجيل الدخول) وكذلك تغيير البيانات المنقولة عبر اتصال HTTPS.
تحليل المشكلة
اعتبارًا من 1 آذار (مارس) 2017، بدأ Google Play في حظر نشر أي تطبيقات أو تحديثات جديدة تنفِّذ HostnameVerifier بشكل غير آمن. يُرجى الرجوع إلى الإشعار في حسابك على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد يتم حذف أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.
الإجراء المطلوب
- سجِّل الدخول إلى حسابك على Play Console، وانتقِل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة بالثغرة الأمنية والمواعيد النهائية لحل هذه المشاكل.
- حدِّث تطبيقاتك المتأثرة بالثغرة الأمنية وأصلِحها.
- أرسِل النسخ المُحدّثة من تطبيقاتك المتأثرة بالثغرة الأمنية.
وفور إعادة الإرسال، سيخضع تطبيقك للمراجعة مرة أخرى. ويمكن أن تستغرق هذه العملية عدة ساعات. إذا اجتاز التطبيق المراجعة وتم نشره بنجاح، لا يلزم اتخاذ أي إجراء آخر. وإذا تعذّر على التطبيق اجتياز المراجعة، لن يتم نشر إصدار التطبيق الجديد وستتلقى إشعارًا عبر البريد الإلكتروني.
تفاصيل إضافية
لمعالجة التحقق من أسماء المضيفات بشكل صحيح، عليك تغيير طريقة التحقق في واجهة HostnameVerifier المخصصة لعرض رسالة خطأ عندما لا يلبي اسم المضيف للخادم توقعاتك.
تجدر الإشارة إلى أنه يجب أيضًا أن تلتزم التطبيقات باتفاقية توزيع مطوّري البرامج وسياسة المحتوى.
تسرّنا مساعدتك
إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.