Jak opravit nedostatečné zabezpečení rozhraní HostnameVerifier

Tyto informace jsou určeny pro vývojáře, jejichž aplikace používají nezabezpečenou implementaci rozhraní HostnameVerifier, která při navazování spojení HTTPS se vzdáleným hostitelem pomocí rozhraní API setDefaultHostnameVerifier přijímá všechny názvy hostitelů. Tato implementace způsobuje, že je aplikace náchylná k útokům typu man-in-the-middle. Útočník by mohl číst přenášená data (např. přihlašovací údaje), nebo dokonce data přenášená prostřednictvím spojení HTTPS měnit.

K čemu dochází

Od 1. března 2017 začala služba Google Play blokovat publikování nových aplikací a aktualizací, které používají nezabezpečenou implementaci rozhraní HostnameVerifier. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Aby bylo ověřování názvu hostitele prováděno správně, změňte ve vlastním rozhraní HostnameVerifier metodu verify tak, aby v případě neočekávaného názvu hostitele serveru vracela hodnotu false.

Aplikace také musí být v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami.

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.