Cómo resolver la implementación no segura de HostnameVerifier

Está información está dirigida a programadores cuyas apps usan una implementación no segura de la interfaz HostnameVerifier. Como consecuencia, acepta todos los nombres de host cuando se establece una conexión HTTPS con un host remoto mediante la API de setDefaultHostnameVerifier, lo que provoca que la app sea vulnerable a ataques de intermediarios. Cualquier atacante podría leer y hasta cambiar los datos transmitidos (como credenciales de acceso) en la conexión HTTPS.

A partir del 1 de marzo de 2017, Google Play bloqueará la publicación de apps nuevas o actualizaciones que usen una implementación no segura de la interfaz HostnameVerifier. La versión publicada del APK no cambiará, pero se bloquearán las actualizaciones de la app si no solucionas la vulnerabilidad.

Acción obligatoria 

Para implementar la verificación del nombre de host de manera correcta, cambia el método de verificación en tu interfaz personalizada de HostnameVerifier para que muestre el resultado como falso cada vez que el nombre de host que presente el servidor no cumpla con tus expectativas.

Sigue estos pasos:

  1. Actualiza tu app por medio de los pasos destacados anteriormente.

  2. Accede a Developer Console y envía la versión actualizada de tu app.

  3. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia.

Si tienes alguna otra consulta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa la etiqueta "android-security". Ten en cuenta que no debes publicar preguntas sobre las políticas de Play en este sitio.

Ten en cuenta que las apps también deben cumplir con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.