Bu bilgiler, HostnameVerifier arayüzünü güvenli olmayan bir şekilde uygulamalarında kullanan geliştiriciler için hazırlanmıştır. Bu güvenlik açığı, setDefaultHostnameVerifier API'sini kullanarak uzak bir ana makineyle HTTPS bağlantısı oluştururken tüm ana makine adlarının kabul edilmesi şeklinde gerçekleşir. Bu durum, uygulamayı aradaki adam (man-in-the-middle) saldırılarına karşı korumasız bırakır. Bir saldırgan, HTTPS bağlantısında iletilen verileri (giriş kimlik bilgileri gibi) potansiyel olarak okuyabilir, hatta bu verileri değiştirebilir.
Neler oluyor?
Google Play, 1 Mart 2017'den itibaren güvenli olmayan HostnameVerifier kontrolünü kullanan yeni uygulamaların veya güncellemelerin yayınlanmasını engellemeye başlamıştır. Lütfen Play Console hesabınızdaki bildirime bakın. Play Console hesabınızda gösterilen son tarihlerden sonra, düzeltilmemiş güvenlik açığı içeren tüm uygulamalar Google Play'den kaldırılacaktır.
Yapılması gerekenler
- Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
- Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.
Ek ayrıntılar
Ana makine doğrulamasının uygun şekilde işlenmesi için özel HostnameVerifier arayüzünüzdeki doğrulama yöntemini değiştirerek sunucunun ana makinesi, beklentilerinizi karşılamadığında yanlış değerinin döndürülmesini sağlayın.
Uygulamaların ayrıca Geliştirici Dağıtım Sözleşmesi ve İçerik Politikası'na uyması gerektiğini unutmayın.
Yardıma hazırız
Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili bilgi almak isterseniz geliştirici destek ekibimize ulaşabilirsiniz.