Nem biztonságos HostnameVerifier kijavítása

Az alábbi információk azoknak a fejlesztőknek szólnak, akik alkalmazásaikban a HostnameVerifier interfész nem biztonságos implementációját használják. Az interfész minden gazdagépnevet elfogad, amikor távoli gazdagéppel létesít HTTPS-kapcsolatot a setDefaultHostnameVerifier API segítségével, ezért az alkalmazás sebezhetővé válik a közbeékelődéses (man-in-the-middle) támadásokkal szemben. A támadó potenciálisan láthatja és akár módosíthatja is a HTTPS-kapcsolaton keresztül átadott adatokat (például a bejelentkezés hitelesítési adatait).

Mi történik?

2017. március 1-jétől kezdődően a Google Play minden olyan új alkalmazás és frissítés közzétételét letiltja, amely a HostnameVerifier nem biztonságos implementációját használja. Olvasd el a Play Console felületén lévő értesítést. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Részletek

A gazdagépnév-azonosítás megfelelő kezeléséhez módosítsd úgy egyéni HostnameVerifier interfészed verify metódusát, hogy hamis értékkel térjen vissza, ha a szerver gazdagépneve nem megfelelő.

Vedd figyelembe, hogy az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a tartalmi irányelvekben foglaltaknak is.

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.