Aceste informații sunt destinate dezvoltatorilor de aplicații care folosesc o implementare nesigură a interfeței HostnameVerifier, care acceptă toate numele de gazdă la stabilirea unei conexiunei HTTPS cu o gazdă la distanță prin API-ul setDefaultHostnameVerifier. Prin această implementare, aplicația dvs. devine vulnerabilă în cazul atacurilor prin interceptare. Un atacator poate citi datele transmise (cum ar fi datele de conectare) și poate chiar să modifice datele transmise prin conexiunea HTTPS.
Ce se întâmplă
Începând din 1 martie 2017, Google Play a început să blocheze publicarea aplicațiilor noi și a actualizărilor care folosesc o implementare nesigură a interfeței HostnameVerifier. Consultați notificarea din Play Console. După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.
Acțiune necesară
- Conectați-vă la Play Console și navigați la secțiunea Alerte ca să vedeți ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
- Actualizați aplicațiile afectate și remediați vulnerabilitatea.
- Trimiteți versiunile actualizate ale aplicațiilor afectate.
După retrimiterea solicitării, aplicația dvs. va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea dvs. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și veți primi o notificare prin e-mail.
Detalii suplimentare
Pentru a gestiona corespunzător verificarea numelui de gazdă, modificați metoda verify din interfața HostnameVerifier personalizată astfel încât să returneze valoarea „false” oricând numele de gazdă al serverului nu corespunde așteptărilor dvs.
Rețineți că aplicațiile trebuie să respecte Acordul de distribuire pentru dezvoltatori și Politica de conținut.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice cu privire la vulnerabilitate, puteți posta pe Stack Overflow, cu eticheta „android-security”. Pentru clarificarea pașilor necesari pentru remedierea acestei probleme, contactați echipa de asistență pentru dezvoltatori.