Comment résoudre les problèmes de mise en œuvre d'une interface HostnameVerifier non sécurisée

Ces informations s'adressent aux développeurs dont des applications utilisent une mise en œuvre non sécurisée de l'interface HostnameVerifier, qui accepte tous les noms d'hôtes lors de l'établissement d'une connexion HTTPS à un hôte distant avec l'API setDefaultHostnameVerifier. Cette mise en œuvre rend l'application vulnérable aux attaques dites de "l'homme du milieu". Un pirate informatique peut potentiellement lire, voire modifier les données transmises via la connexion HTTPS, telles que les identifiants de connexion.

Que se passe-t-il ?

Depuis le 1er mars 2017, la publication sur Google Play de nouvelles applications ou de mises à jour d'application qui utilisent une mise en œuvre non sécurisée de HostnameVerifier est bloquée. Veuillez consulter la notification dans la console PlayPassé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.

Action requise

  1. Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
  2. Mettez à jour les applications concernées et corrigez la faille.
  3. Envoyez les versions mises à jour des applications concernées.

Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.

Informations supplémentaires

Pour gérer correctement la validation du nom d'hôte, modifiez la méthode de validation dans votre interface HostnameVerifier personnalisée afin de renvoyer la valeur "False" chaque fois que le nom d'hôte du serveur ne correspond pas à vos attentes.

Sachez que les applications doivent également respecter le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.

Nous sommes là pour vous aider

Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
false
Menu principal
3646920755624743604
true
Rechercher dans le centre d'aide
true
true
true
true
true
5016068
false
false