Ove su informacije namijenjene razvojnim programerima s aplikacijama koje upotrebljavaju nesigurnu implementaciju sučelja HostnameVerifier koje prihvaća sve nazive hosta kada uspostavlja HTTPS vezu s udaljenim hostom sa setDefaultHostnameVerifier API-jem. Zbog te je implementacije aplikacija izložena posredničkim napadima. Napadač bi mogao čitati podatke koji se šalju (primjerice vjerodajnice za prijavu), pa čak i promijeniti podatke koji se šalju HTTPS vezom.
Što se događa
Od 1. ožujka 2017. Google Play počeo je blokirati objavljivanje svih novih aplikacija ili ažuriranja koja koriste nesigurnu implementaciju HostnameVerifiera. Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli mogu se ukloniti s Google Playa.
Potrebna je radnja
- Prijavite se na Play konzolu i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Ažurirajte zahvaćene aplikacije i uklonite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
Za pravilno rukovanje potvrdom naziva hosta promijenite metodu za verify na prilagođenom sučelju HostnameVerifiera tako da vraća vrijednost false svaki put kada naziv hosta poslužitelja ne udovolji očekivanjima.
Napominjemo da aplikacije moraju biti u skladu i s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.