Как устранить проблему небезопасной реализации интерфейса HostnameVerifier

Эта информация предназначена для разработчиков приложений, в которых используется небезопасная реализация интерфейса HostnameVerifier. Реализация считается небезопасной, если при установке HTTPS-соединений интерфейс, заданный методом setDefaultHostnameVerifier, не проверяет имя удаленного хоста. Это делает приложение уязвимым для атаки посредника, с помощью которой злоумышленник может прочитать или даже подменить данные, передаваемые по HTTPS-соединению (например, учетные данные).

Что происходит

С 1 марта 2017 года в Google Play нельзя публиковать приложения и обновления, в которых используется небезопасная реализация интерфейса HostnameVerifier. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и в какой срок нужно решить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Внесите изменения в приложения, затронутые уязвимостью, чтобы устранить ее.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если мы убедимся, что уязвимость устранена, то опубликуем приложение и дополнительных действий с вашей стороны не потребуется. В противном случае новая версия не будет опубликована, а вы получите уведомление по электронной почте.

Сведения об уязвимости

Для корректной обработки имени хоста измените метод verify в используемой реализации интерфейса HostnameVerifier, чтобы он возвращал значение false, если имя сервера не соответствует заданным требованиям.

Приложения должны соответствовать условиям Соглашения Google Play о распространении программных продуктов и Правилам в отношении контента.

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?