Den här informationen är avsedd för utvecklare vars appar använder en osäker implementering av gränssnittet HostnameVerifier där alla värdnamn godkänns när en HTTPS-anslutning till en fjärrvärd upprättas med API:et setDefaultHostnameVerifier. Den här implementeringen gör appen sårbar för man-i-mitten-angrepp. Det kan vara möjligt för hackare att läsa överförd data (till exempel inloggningsuppgifter) och till och med ändra data som överförs via HTTPS-anslutningen.
Detta händer
Sedan den 1 mars 2017 blockeras publicering av nya appar eller uppdateringar som använder en osäker implementering av HostnameVerifier på Google Play. Läs mer i meddelandet i Play Console. Alla appar där säkerhetsbristen inte har åtgärdats tas bort från Google Play efter det datum som anges i Play Console.
Åtgärd som krävs
- Logga in på Play Console och öppna avsnittet Varningar. Där ser du vilka appar som berörs av problemet och vilket datum det måste vara åtgärdat.
- Uppdatera de berörda apparna och åtgärda säkerhetsbristen.
- Skicka in uppdaterade versioner av de berörda apparna.
När du skickar in den nya appversionen granskas den på nytt. Granskningen kan ta flera timmar. Om appen blir godkänd vid granskningen och publiceras utan problem behöver du inte göra något mer. Om appen inte blir godkänd vid granskningen kommer den nya appversionen inte att publiceras och du meddelas via e-post.
Ytterligare information
Se till att verifieringen av värdnamnet hanteras korrekt genom att ändra metoden verify i det anpassade HostnameVerifier-gränssnittet så att Falskt returneras om serverns värdnamn inte uppfyller villkoren.
Tänk på att appar även måste uppfylla villkoren i distributionsavtalet för utvecklare och innehållspolicyn.
Vi hjälper dig gärna
Om du har tekniska frågor som handlar om säkerhetsbristen kan du ställa dem på Stack Overflow. Använd taggen android-security. Om du behöver mer information om hur du åtgärdar problemet kontaktar du vårt supportteam för utvecklare.