Αυτές οι πληροφορίες προορίζονται για προγραμματιστές με εφαρμογές που χρησιμοποιούν μη ασφαλή ενσωμάτωση της διεπαφής HostnameVerifier, η οποία αποδέχεται όλα τα ονόματα κεντρικού υπολογιστή κατά την πραγματοποίηση μιας σύνδεσης HTTPS σε απομακρυσμένο κεντρικό υπολογιστή με το setDefaultHostnameVerifier API. Αυτή η ενσωμάτωση καθιστά την εφαρμογή σας ευπαθή σε επιθέσεις παρεμβολής από εισβολείς. Ο εισβολέας μπορεί δυνητικά να διαβάσει τα μεταδιδόμενα δεδομένα (όπως τα διαπιστευτήρια σύνδεσης), αλλά και να αλλάξει τα μεταδιδόμενα δεδομένα στη σύνδεση HTTPS.
Τι συμβαίνει
Από την 1η Μαρτίου 2017, το Google Play ξεκίνησε να αποκλείει τη δημοσίευση νέων εφαρμογών ή ενημερώσεων που χρησιμοποιούν μη ασφαλή ενσωμάτωση του HostnameVerifier. Ανατρέξτε στην ειδοποίηση στο Play Console. Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές που περιέχουν ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί, ενδέχεται να καταργηθούν από το Google Play.
Απαιτείται ενέργεια
- Συνδεθείτε στο Play Console και μεταβείτε στην ενότητα Ειδοποιήσεις για να δείτε τις επηρεαζόμενες εφαρμογές και τις προθεσμίες για την επίλυση των σχετικών ζητημάτων.
- Ενημερώστε τις επηρεαζόμενες εφαρμογές και διορθώστε την ευπάθεια.
- Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.
Μετά την επανυποβολή, η εφαρμογή σας θα ελεγχθεί ξανά. Αυτή η διαδικασία μπορεί να διαρκέσει αρκετές ώρες. Εάν ο έλεγχος της εφαρμογής ολοκληρωθεί χωρίς προβλήματα και η εφαρμογή δημοσιευτεί με επιτυχία, τότε δεν απαιτείται καμία άλλη ενέργεια. Εάν ο έλεγχος της εφαρμογής αποτύχει, τότε η νέα έκδοση της εφαρμογής δεν θα δημοσιευτεί και θα λάβετε σχετική ειδοποίηση με ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Πρόσθετα στοιχεία
Για τη σωστή διαχείριση της επαλήθευσης ονόματος κεντρικού υπολογιστή, αλλάξτε τη μέθοδο επαλήθευσης στην προσαρμοσμένη διεπαφή του HostnameVerifier που χρησιμοποιείτε, έτσι ώστε να εμφανίζει σφάλμα όταν το όνομα κεντρικού υπολογιστή δεν ανταποκρίνεται στις προσδοκίες σας.
Λάβετε υπόψη ότι οι εφαρμογές πρέπει επίσης να συμμορφώνονται με το Συμφωνητικό διανομής για προγραμματιστές και την Πολιτική περιεχομένου.
Είμαστε εδώ για να σας βοηθήσουμε
Αν έχετε τεχνικές ερωτήσεις σχετικά με τη συγκεκριμένη ευπάθεια, μπορείτε να τις δημοσιεύσετε στον ιστότοπο Stack Overflow με την ετικέτα “android-security”. Για διευκρινίσεις σχετικά με τα βήματα που πρέπει να ακολουθήσετε για την επίλυση του προβλήματος, μπορείτε να επικοινωνήσετε με την ομάδα υποστήριξης προγραμματιστών.