Como resolver um HostnameVerifier não seguro

Estas informações são destinadas a desenvolvedores de apps que usam uma implementação não segura da interface HostnameVerifier. Essa implementação aceita todos os nomes de host ao estabelecer uma conexão HTTPS a um host remoto com a API setDefautlHostnameVerifier e deixa o app vulnerável a ataques man-in-the-middle. Um invasor pode ler dados transmitidos, como credenciais de login, e até mesmo alterar os dados transmitidos na conexão HTTPS.

O que está acontecendo

A partir de 1º de março de 2017, o Google Play bloqueou a publicação de novos apps ou atualizações que usam implementações não seguras do HostnameVerifier. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

Para tratar adequadamente a verificação de nome do host, altere o método verify da sua interface personalizada HostnameVerifier para que retorne falso sempre que o nome do host do servidor não atender às suas expectativas.

Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a política de conteúdo.

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?