Ове информације су намењене програмерима са апликацијама које користе примену интерфејса HostnameVerifier која није безбедна и која прихвата сва имена хоста када се успоставља HTTPS веза са удаљеним хостом са API-јем setDefaultHostnameVerifier. Ова примена чини апликацију подложном нападима преко посредника. Нападач може да чита пренесене податке (попут акредитива за пријављивање), па чак и да мења податке пренесене помоћу HTTPS везе.
Шта се дешава
Од 1. марта 2017. Google Play је почео да блокира објављивање свих нових апликација или ажурирања који користе примену интерфејса HostnameVerifier која није безбедна. Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.
Треба да реагујете
- Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
- Ажурирајте апликације на које се ово односи и исправите пропусте.
- Пошаљите ажуриране верзије апликација на које се ово односи.
Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.
Додатне информације
Да бисте исправно управљали верификацијом имена хоста, промените метод за верификацију у прилагођеном интерфејсу HostnameVerifier тако да даје вредност false сваки пут када име хоста сервера не испуни очекивања.
Имајте у виду да апликације такође морају да буду у складу са Уговором о дистрибуцији за програмере и Смерницама за садржај.
Ту смо да помогнемо
Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте разјаснили кораке које треба да предузмете да бисте решили овај проблем, можете да контактирате тим подршке за програмере.