Com es resol la implementació no segura de HostnameVerifier

Aquesta informació va dirigida als desenvolupadors d'aplicacions que utilitzin una implementació no segura de la interfície de HostnameVerifier que accepti tots els noms d'amfitrió quan s'estableix una connexió HTTPS amb un amfitrió remot mitjançant l'API de setDefaultHostnameVerifier. Aquesta implementació fa que les aplicacions siguin vulnerables als atacs d'intercepció. Els atacants podrien llegir la informació enviada (com ara les credencials d'inici de sessió) i fins i tot canviar les dades transmeses mitjançant la connexió HTTPS.

Què passa

A partir de l'1 de març de 2017, Google Play va començar a bloquejar la publicació de les aplicacions o les actualitzacions noves que utilitzessin una implementació no segura de HostnameVerifier. Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.

Acció necessària​

  1. Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
  2. Actualitza les aplicacions afectades i soluciona la vulnerabilitat.
  3. Envia les versions actualitzades de les aplicacions afectades.

Un cop hagis l'hagis tornat a enviar, tornarem a revisar la teva aplicació. Aquest procés pot tardar diverses hores. Si l'aplicació passa la revisió i es publica correctament, no cal dur a terme cap altra acció. Si l'aplicació no passa la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.

Detalls addicionals

Per gestionar correctament la verificació del nom d'amfitrió, canvia el mètode de verificació de la teva interfície personalitzada de HostnameVerifier perquè ofereixi un resultat fals sempre que el nom d'amfitrió del servidor no compleixi les teves expectatives.

Tingues en compte que les aplicacions també han de complir l'Acord de distribució per a desenvolupadors i la política de continguts.

Som aquí per ajudar-te

Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.