Açığa Çıkan Firebase Cloud Messaging (FCM) Sunucu Anahtarları Düzeltmesi

Bu bilgi, uygulamalarında açığa çıkmış Firebase Cloud Messaging (FCM) sunucu anahtarları bulunan geliştiriciler için hazırlanmıştır.

Neler oluyor?

Uygulamalarınızdan biri veya birkaçı, açığa çıkmış FCM sunucu anahtarları içeriyor. Kötü amaçlı saldırganlar, açığa çıkan anahtarları kullanarak güvenlik açığı bulunan uygulamanızın tüm kullanıcılarına push bildirimleri gönderebilir. Bu bildirimlerin içeriği saldırganın kontrolündedir ve rahatsız edici mesajlardan sansürsüz/rahatsız edici resimlere uzanan içerikler söz konusu olabilir. Uygulamalarınızla ilgili sorunu düzeltmek için lütfen aşağıda ayrıntılı bir şekilde anlatılan adımları inceleyin. Uygulamanızda, FCM sunucu anahtarlarının açığa çıktığı yerleri bulmak için Play Console'da uygulamanızla ilgili bildirimlere bakabilirsiniz.

İşlem gerekli

  1. Aşağıda vurgulanan adımları izleyerek uygulamanızı ve açığa çıkan FCM anahtarlarınızı güncelleyin.

    1. Uygulamanızda eski FCM API etkinse ve bu API'yi push bildirimleri göndermek için kullanmıyorsanız eski FCM API'yi devre dışı bırakın.
    2. Uygulamanızda eski FCM API etkinse ve bu API'yi push bildirimleri göndermek için kullanıyorsanız aşağıdaki iki adımdan herhangi birini uygulayabilirsiniz:
      1. (Önerilir) Uygulamanızda FCM v1 API'yi kullanmaya başlayın ve eski FCM API'yi devre dışı bırakın.
      2. Aşağıda açıklandığı şekilde eski FCM API'yi kullanımınızı güvenli hale getirin:
        1. Açığa çıkan anahtarı yalnızca FCM API için kullanıyorsanız:
          1. Firebase Konsolu > Proje Ayarları > Cloud Messaging'de "Sunucu Anahtarı Ekle"yi tıklayarak yeni bir anahtar oluşturun. Güvenli sunucu ortamınızdan FCM mesajları göndermek için bu yeni sunucu anahtarını kullanın. Bu anahtarı yalnızca güvenli sunucu ortamınızda kullandığınızdan ve istemci kodunuza (uygulamalar, ikili programlar) dahil etmediğinizden emin olun.
          2. FCM mesajlarını, yeni oluşturulan sunucu anahtarını kullanarak göndermeye başladıktan sonra, açığa çıkan sunucu anahtarlarını GCP Console'dan silin. Uygulamanızda FCM sunucu anahtarlarının açığa çıktığı yerleri, Google Play'den gelen bildirim e-postasında bulabilirsiniz. Açığa çıkan anahtarları bu yerlerden nasıl edinebileceğiniz, c adımında açıklanmıştır.
        2. Açığa çıkan anahtarı FCM dahil olmak üzere başka API'ler için kullanıyorsanız:
          1. Uygulamanızda FCM v1 API'yi kullanmaya başlayın ve eski FCM API'yi devre dışı bırakın.
          2. Açığa çıkan anahtarı diğer API'lerde kullanmayı sonlandırın. Böylece diğer API'leri kullanırken ileride sorun yaşamazsınız. Daha sonra, açığa çıkan anahtarı GCP Console'dan silin.
    3. Yukarıdaki adımlardan birini tamamladıktan sonra, açığa çıkan FCM sunucu anahtarını uygulama kodunuzdan silin. Uygulamanızda FCM sunucu anahtarlarının açığa çıktığı yerleri, Google Play'den gelen bildirim e-postasında bulabilirsiniz. Açığa çıkan anahtarlara ulaşmak için uygulamanızın kodunda güvenlik açığı bulunan yerleri kontrol edin. Anahtar, ya o noktada bir satır olarak yerleşiktir ya da uygulamanızın XML kaynaklarından o noktada yükleniyordur. İkinci durumda, açığa çıkan anahtara ulaşmak için uygulamanızın res/values/strings.xml dosyasını kontrol edin. Lütfen şunları göz önünde bulundurun:
      • Yukarıdaki adımları uygular ancak açığa çıkan anahtarları uygulamanızdan silmezseniz e-postanızda/Google Play Console'da güvenlik açığı bildirimleri almaya devam edersiniz.
      • Açığa çıkan anahtarları uygulamanızdan siler ancak yukarıdaki adımları uygulamazsanız aslında sorunu çözmüş olmazsınız. Çünkü bir saldırgan, söz konusu anahtarı uygulamanızın eski bir sürümünden kolaylıkla bulup uygulamanıza saldırmak için kullanabilir.

2. Güncellenmiş APK'nızı gönderin

Güncellenmiş bir uygulama paketi veya APK göndermek için:

  1. Play Console hesabınıza gidin.
  2. Uygulamayı seçin.
  3. Uygulama paketi gezgini'ne gidin.
  4. Sağ üstteki açılır menüden uyumlu olmayan APK/uygulama paketinin uygulama sürümünü seçip bunların hangi sürüm kapsamında olduğunu not edin.
  5. Politika sorununun olduğu kanala gidin. Şu 4 sayfadan biri olacaktır: Dahili / Kapalı / Açık test veya Üretim.
  6. Sayfanın sağ üst tarafına yakın yerde bulunan Yeni sürüm oluştur'u tıklayın. (Önce Kanalı yönet seçeneğini tıklamanız gerekebilir)
    • İhlale neden olan APK'nın bulunduğu sürüm taslak halindeyse sürümü silin.
  7. Uygulama paketlerinin veya APK'ların politikaya uygun sürümlerini ekleyin.
    • Uygulama paketlerinin veya APK'ların uyumlu olmayan sürümünün, bu sürümün Dahil olmayanlar bölümünde bulunduğundan emin olun. Daha fazla bilgi için lütfen bu Play Console Yardım makalesindeki "Dahil olmayanlar (uygulama paketleri ve APK'lar)" bölümüne göz atın.
  8. Sürümünüzde yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.
  9. Sürümünüzü hazırlamayı bitirdiğinizde Sürümü incele'yi seçin.

Uyumlu olmayan APK birden fazla kanalda yayınlandıysa her kanal için 5 ile 9 arasındaki adımları tekrarlayın.

Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.

Size yardım etmeye hazırız

Güvenlik açığı hakkında teknik sorularınız varsa “android-security” etiketini kullanarak sorularınızı Stack Overflow'da yayınlayabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili sorunuz olursa geliştirici destek ekibimizeulaşabilirsiniz.

Ana menü
9843127999255790145
true
Yardım Merkezinde Arayın
true
true
true
true
true
5016068
false