Disse oplysninger er beregnet til udviklere med apps, der anvender en usikker implementering af grænsefladen for HostnameVerifier, som accepterer alle hostnames, når den etablerer en HTTPS-forbindelse til en ekstern host med API'en setDefaultHostnameVerifier. Denne implementering gør appen sårbar over for mellemmandsangreb. En hacker kan muligvis læse overførte data (f.eks. loginoplysninger) og endda ændre data, der overføres via HTTPS-forbindelsen.
Hvad sker der?
Siden den 1. marts 2017 har Google Play blokeret udgivelsen af alle nye apps eller opdateringer, der anvender en usikker implementering af HostnameVerifier. Få flere oplysninger ved at gå til meddelelsen i Play Console. Efter de tidsfrister, der vises i Play Console, fjernes alle apps med sikkerhedsbrister, som ikke er rettet, muligvis fra Google Play.
Påkrævet handling
- Log ind på Play Console, og gå til afsnittet Advarsler for at se, hvilke apps der er berørt, og tidsfristerne for at løse disse problemer.
- Opdater dine berørte apps, og afhjælp sikkerhedsbristen.
- Indsend de opdaterede versioner af de berørte apps.
Din app gennemgås på ny, når du indsender den igen. Dette kan tage flere timer. Hvis appen består gennemgangen og udgives korrekt, skal du ikke gøre mere. Hvis appen ikke består gennemgangen, udgives den nye appversion ikke, og du modtager en notifikation via mail.
Yderligere oplysninger
For at kunne håndtere bekræftelse af hostname korrekt skal du ændre metoden til bekræftelse i din tilpassede grænseflade for HostnameVerifier, så serverens hostname angives som falsk, når det ikke opfylder dine forventninger.
Bemærk, at apps også skal overholde distributionsaftalen for udviklere og indholdspolitikken.
Vi sidder klar til at hjælpe dig
Hvis du har tekniske spørgsmål vedrørende sikkerhedshullet, kan du skrive et indlæg på Stack Overflow og bruge tagget "android-security". Hvis du har spørgsmål til den vejledning, du skal følge for at løse problemet, kan du kontakte vores supportteam til udviklere.