Nyilvánosságra került Firebase Felhőalapú Üzenetküldés (FCM) szerverkulcsok kijavítása

Ez az információ olyan alkalmazások fejlesztőinek szól, amelyek nyilvánosságra került Firebase Felhőalapú Üzenetküldés (FCM) szerverkulcsokat tartalmaznak.

Mi történik?

Legalább egy alkalmazásod nyilvánosságra került FCM-szerverkulcsokat tartalmaz. A rosszindulatú támadók a nyilvánosságra került kulcsokkal leküldött (push) értesítéseket küldhetnek a sebezhető alkalmazás összes felhasználójának. A támadó kezelheti az ilyen értesítések tartalmát, ami lehet többek között sértő üzenet, illetve megrázó vagy felkavaró képek. Alkalmazásaid problémáinak kijavításához tekintsd át az alábbi részletes lépéseket.  Az alkalmazásodra vonatkozó Play Console-értesítésben találod azokat a helyeket, ahol az alkalmazásodban nyilvánosságra kerülnek FCM-szerverkulcsok.

Teendők

1. Frissítsd alkalmazásodat és a nyilvánosságra került FCM-kulcsokat az alábbi lépéseket követve.

   1. Ha az alkalmazásodhoz engedélyezted a régi FCM API felületet, és nem használod leküldött (push) értesítések küldésére, akkor tiltsd le a régi FCM API-t.
   2. Ha engedélyezve van a régi FCM API, és leküldött (push) értesítések küldésére használod, akkor a következő két lehetőség közül választhatsz:
      1. (Ajánlott) Térj át az FCM API 1. verziójának a használatára, és tiltsd le a régi FCM API-t.
      2. A régi FCM API biztonságos használatához kövesd az alábbi lépéseket:
         1. Ha a nyilvánosságra került kulcsot csak az FCM API-hoz használod:
            1. Hozz létre új kulcsot a Firebase Konzol > Projektbeállítások > Felhőalapú Üzenetküldés lehetőségnél a „Szerverkulcs hozzáadása” lehetőségre kattintva. Használd ezt az új szerverkulcsot az FCM-üzenetek biztonságos szerverkörnyezetből való küldéséhez. Ügyelj rá, hogy ezt a kulcsot csak biztonságos szerverkörnyezetből használd, és a kulcs ne szerepeljen az ügyfélkódban (alkalmazások, bináris programok).
            2. Miután áttértél az FCM-üzenetek küldésére az újonnan generált szerverkulcsot használva, töröld a nyilvánosságra került szerverkulcsokat a GCP-konzolból. A Google Playtől kapott értesítő e-mailben találod azokat a helyeket, ahol az alkalmazásod nyilvánosságra hozza az FCM-szerverkulcsokat. A c lépés ismerteti, hogy hogyan szerezheted meg a nyilvánosságra került kulcsokat ezekről a helyekről.
         2. Ha a nyilvánosságra került kulcsot más API-khoz (pl. FCM-hez) is használod, akkor:
            1. Térj át az FCM API 1. verziójának a használatára, és tiltsd le a régi FCM API-t.
            2. A jövőbeli biztonságos API-használat érdekében azt ajánljuk, hogy ne használd a nyilvánosságra került kulcsot más API-khoz, és töröld a nyilvánosságra került kulcsot a GCP-konzolból.
   3. Miután végrehajtottad a fenti lépések egyikét, töröld az alkalmazáskódból a nyilvánosságra került FCM-szerverkulcsot. A Google Playtől kapott értesítő e-mailben találod azokat a helyeket, ahol az alkalmazásod nyilvánosságra hozza az FCM-szerverkulcsokat. A nyilvánosságra került kulcsok megszerzésével kapcsolatban tekintsd meg a sebezhető hely alkalmazáskódját. A kulcsot beágyazhatod az adott helyre karakterláncként, vagy betöltheted az adott helyre az alkalmazás XML-forrásaiból. Utóbbi esetben az alkalmazásod res/values/strings.xml fájlja segítségével szerezheted meg a nyilvánosságra került kulcsot. Vedd figyelembe a következőket:
      • Ha végrehajtod a fenti lépéseket, de nem törlöd a nyilvánosságra került kulcsokat az alkalmazásodból, akkor továbbra is értesítéseket fogsz kapni a sebezhetőségről az e-mail-címedre/a Google Play Console-ban.
      • Ha törlöd a nyilvánosságra került kulcsokat az alkalmazásodból, de nem hajtod végre a fenti lépéseket, akkor tulajdonképpen nem oldod meg a problémát, mivel a támadó egyszerűen megkeresheti a kulcsot az alkalmazás régebbi verziójában, és felhasználhatja az alkalmazás megtámadására.

2. Frissített APK elküldése

Frissített alkalmazáscsomag vagy APK elküldése:

1. Nyisd meg a Play Console-t.
2. Válaszd ki az alkalmazást.
3. Nyisd meg az Alkalmazáscsomag-kezelőt.
4. Válaszd ki a nem megfelelő APK/alkalmazáscsomag verzióját a jobb felső legördülő menüben, és jegyezd fel, hogy melyik kiadásokhoz tartoznak.
5. Nyisd meg az irányelvekkel kapcsolatos problémát tartalmazó csatornát. Ez a következő 4 oldal egyike lesz: belső / zárt / nyílt tesztelés vagy éles.
6. Az oldal jobb felső része közelében kattints az Új kiadás létrehozása lehetőségre. (Előfordulhat, hogy először a Csatorna kezelése elemre kell kattintanod.)
   • Ha az APK-t sértő kiadás vázlat állapotban van, vesd el a kiadást.
7. Add hozzá az alkalmazáscsomagok vagy APK-k irányelveknek megfelelő verzióját.
   • Győződj meg arról, hogy az alkalmazáscsomagok vagy APK-k nem megfelelő verziója az aktuális kiadás Nem tartalmazza szakaszában van. Erről részletesebben a Play Console súgócikkében található „Nem tartalmazza (alkalmazáscsomagok és APK-k)” szakaszban olvashatsz.
8. A kiadás módosításainak mentéséhez válaszd a Mentés lehetőséget.
9. Ha elkészültél a kiadás előkészítésével, válaszd a A kiadás áttekintése lehetőséget.

Ha a nem megfelelő APK több csatornán is hozzáférhető, ismételd meg az 5–9. lépést minden egyes csatornán.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Örömmel segítünk

Ha technikai jellegű kérdéseid vannak a sebezhetőséggel kapcsolatban, felteheted őket a Stack Overflow webhelyén az „android-security” címke használatával. Ha tisztázni szeretnéd, hogy pontosan milyen lépéseket kell tenned a probléma megoldása érdekében, felveheted a kapcsolatot a fejlesztői ügyfélszolgálati csapatunkkal.