Remediere pentru cheile de server Mesagerie în cloud Firebase (FCM) expuse

Aceste informații le sunt destinate dezvoltatorilor ale căror aplicații conțin chei de server Mesagerie în cloud Firebase (FCM) expuse.

Ce se întâmplă

Una sau mai multe dintre aplicațiile tale conțin chei de server FCM expuse. Un atacator rău intenționat poate folosi cheile expuse pentru a trimite notificări push tuturor utilizatorilor aplicației dvs. vulnerabile. Atacatorul va deține controlul asupra conținutului acestor notificări. Acestea pot varia de la mesaje jignitoare la imagini explicite / deranjante. Consultă pașii prezentați în detaliu mai jos pentru a remedia problema cu aplicațiile tale.Locațiile din aplicație care expun chei de server FCM se află în notificarea din Play Console pentru aplicația ta.

Acțiune necesară

  1. Actualizați aplicația și cheile FCM expuse, folosind pașii evidențiați mai jos.

    1. Dacă ai activat API-ul FCM vechi pentru aplicație și nu îl folosești pentru a trimite notificări push, dezactivează API-ul FCM vechi.
    2. Dacă ați activat API-ul FCM vechi și îl folosiți pentru a trimite notificări push, puteți lua oricare dintre următoarele două măsuri:
      1. (recomandat) migrează folosind API-ul FCM v1 și dezactivează API-ul FCM vechi;
      2. asigurați-vă că folosiți API-ul FCM vechi astfel:
        1. dacă folosiți cheia expusă numai pentru API-ul FCM:
          1. generați o nouă cheie din Consolă Firebase > Setări proiect > Mesagerie în cloud dând clic pe „Adăugați o cheie de server”.  Folosiți această cheie de server nouă pentru a trimite mesaje FCM din mediul de server securizat. Asigurați-vă că folosiți această cheie numai din mediul de server securizat și că aceasta nu este inclusă în codul de client (aplicații, fișiere binare); 
          2. după ce ați migrat la trimiterea mesajelor FCM folosind cheia de server nou generată, ștergeți cheile de server expuse din GCP Console. Locațiile din aplicație care expun chei de server FCM pot fi găsite în e-mailul de notificare de la Google Play. Pasul c. descrie modul în care puteți obține cheile expuse din aceste locații; 
        2. dacă folosiți cheia expusă pentru alte API-uri, inclusiv FCM, atunci:
          1. migrează folosind API-ul FCM v1 și dezactivează API-ul FCM vechi;
          2. pentru a dovedi pe viitor folosirea altor API-uri, vă recomandăm să renunțați la folosirea cheii expuse pentru celelalte API-uri și apoi să ștergeți cheia expusă din GCP Console;
    3. după ce ați parcurs unul dintre pașii de mai sus, ștergeți cheia de server FCM expusă din codul aplicației. Locațiile din aplicație care expun chei de server FCM pot fi găsite în e-mailul de notificare de la Google Play. Pentru a obține cheile expuse, verificați codul aplicației în locația vulnerabilă. Cheia poate fi încorporată în locația respectivă ca șir sau poate fi încărcată în locația respectivă din resursele XML ale aplicației. În cel de-al doilea caz, verificați fișierul res/value/strings.xml al aplicației pentru a obține cheia expusă. Rețineți:
      • dacă urmați pașii de mai sus, dar nu ștergeți cheile expuse din aplicație, veți primi în continuare notificări privind vulnerabilitatea în e-mail / Google Play Console; 
      • dacă ștergeți cheile expuse din aplicație, dar nu urmați pașii de mai sus, nu remediați problema, deoarece un atacator poate să găsească cheia într-o versiune mai veche a aplicației și să o folosească pentru a ataca aplicația.

2. Trimiteți APK-ul actualizat

Pentru a trimite un app bundle sau un APK actualizat:

  1. accesați Play Console;
  2. selectați aplicația;
  3. accesați Exploratorul app bundle;
  4. selectați versiunea neconformă a aplicației unui app bundle / APK din meniul drop-down din dreapta sus și notați versiunile în care sunt compatibile;
  5. accesați canalul cu problema legată de politică. Va fi una dintre următoarele patru pagini: Testare internă / Închisă / Deschisă sau Lansare;
  6. în partea din dreapta sus a paginii, dați clic pe Creați o versiune nouă. Poate fi necesar să dați clic pe Gestionați canalul mai întâi.
    • dacă versiunea cu APK-ul care încalcă politica este în starea de versiune nefinalizată, renunțați la versiune;
  7. adăugați versiunea app bundle-urilor sau APK-urilor care respectă politica;
    • asigură-te că versiunea neconformă a app bundle-urilor sau a APK-urilor se află în secțiunea Nu sunt incluse din această versiune. Pentru instrucțiuni suplimentare, consultă secțiunea Nu sunt incluse (app bundle-uri și APK-uri) din acest articol de ajutor din Play Console.
  8. pentru a salva modificările versiunii, selectați Salvați;
  9. după ce terminați de pregătit versiunea, selectați Examinați versiunea.

Dacă APK-ul necorespunzător este lansat pe mai multe canale, repetați pașii 5 – 9 de pe fiecare canal.

După retrimiterea solicitării, aplicația dvs. va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea dvs. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și veți primi o notificare prin e-mail.

Noi vă putem ajuta

Dacă ai întrebări tehnice cu privire la vulnerabilitate, postează pe Stack Overflow folosind eticheta android-security. Ca să înțelegi mai bine pașii pe care trebuie să-i urmezi pentru a rezolva problema, contactează echipa de asistență pentru dezvoltatori.

Meniu principal
3697598207095601131
true
Căutaţi în Centrul de ajutor
true
true
true
true
true
5016068
false