Queste informazioni sono rivolte agli sviluppatori di app che utilizzano un'implementazione non sicura dell'interfaccia HostnameVerifier, che accetta tutti i nomi host quando viene stabilita una connessione HTTPS a un host remoto con l'API setDefaultHostnameVerifier, rendendo così la tua app vulnerabile agli attacchi "man-in-the-middle". Un malintenzionato potrebbe potenzialmente leggere i dati trasmessi (ad esempio le credenziali di accesso) e persino modificare i dati trasmessi tramite la connessione HTTPS.
Situazione attuale
Dal 1° marzo 2017 Google Play impedisce la pubblicazione di nuove app o aggiornamenti che utilizzano un'implementazione non sicura di HostnameVerifier. Leggi la notifica su Play Console. Dopo le scadenze indicate in Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi a Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle app interessate.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
Per gestire correttamente la verifica dei nomi host, modifica il metodo verify nella tua interfaccia personalizzata HostnameVerifier in modo che restituisca un risultato di tipo "false" ogni volta che il nome host del server non soddisfa le tue aspettative.
Tieni presente che le app devono anche essere conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.