Отклањање проблема у вези са откривеним кључевима сервера за Firebase размену порука у клауду (FCM)

Ове информације су намењене програмерима са апликацијама које садрже откривене кључеве сервера за Firebase размену порука у клауду (FCM).

Шта се дешава

Једна или више апликација садржи откривене кључеве сервера за FCM. Злонамерни нападач може да користи откривене кључеве да би слао искачућа обавештења свим корисницима угрожене апликације. Нападач ће контролисати садржај тих обавештења и она могу да варирају од увредљивих порука до експлицитних/узнемирујућих слика. Прегледајте детаљне кораке у наставку да бисте решили проблем са апликацијама.  Локације у апликацији које откривају кључеве сервера за FCM могу да се пронађу у обавештењу Play конзоле за апликацију.

Треба да реагујете

1. Ажурирајте апликацију и откривене FCM кључеве помоћу корака наведених у наставку.

   1. Ако сте омогућили застарели FCM API за апликацију, а не користите га за слање искачућих обавештења, онемогућите тај застарели FCM API,
   2. Ако сте омогућили застарели FCM API и користите га за слање искачућих обавештења, можете да предузмете било који од ова два корака:
      1. (Препоручено) Пређите на коришћење FCM v1 API-ја и онемогућите застарели FCM API.
      2. Обезбедите коришћење застарелог FCM API-ја:
         1. Ако користите октривени кључ само за FCM API: 
            1. Генеришите нови кључ у Firebase конзоли > Подешавања пројекта > Размена порука у клауду кликом на „Додајте кључ сервера“.  Користите овај нови кључ сервера за слање FCM порука из безбедног серверског окружења. Уверите се да користите овај кључ само из безбедног серверског окружења и да није наведен у коду клијента (апликације, бинарни подаци). 
            2. Када пређете на слање FCM порука помоћу новог генерисаног кључа сервера, избришите откривене кључеве сервера из GCP конзоле. Локације из апликације које откривају кључеве сервера за FCM можете да пронађете у имејлу са обавештењем од Google Play-а. Корак В. описује како на основу тих локација можете да пронађете откривене кључеве. 
         2. Ако користите откривени кључ за друге API-је, укључујући FCM:
            1. Пређите на коришћење FCM v1 API-ја и онемогућите застарели FCM API.
            2. Да бисте убудуће обезбедили друга коришћења API-ја, размислите о томе да престанете да користите откривени кључ за друге API-је и избришите откривени кључ из GCP конзоле.
   3. Када обавите један од горенаведених корака, избришите откривени кључ сервера за FCM из кода апликације. Локације из апликације које откривају кључеве сервера за FCM можете да пронађете у имејлу са обавештењем од Google Play-а. Да бисте пронашли откривене кључеве, проверите кôд апликације на угроженој локацији. Кључ може да се угради у ту локацију као стринг или да се учита на тој локацији из XML ресурса апликације. У другом случају, проверите фајл апликације res/value/strings.xml да бисте пронашли откривени кључ. Обратите пажњу на следеће:
      • Ако обавите горенаведене кораке, али не избришете откривене кључеве из апликације, наставићете да примате обавештења о пропустима путем имејла/Google Play конзоле. 
      • Ако избришете откривене кључеве из апликације, али не обавите горенаведене кораке, ви заправо не решавате проблем јер нападач може једноставно да пронађе кључ у старијој верзији апликације и да га користи за напад на апликацију.

2. Пошаљите ажурирани APK

Да бисте послали ажурирани скуп апликација или APK:

1. Идите у Play конзолу.
2. Изаберите апликацију.
3. Идите у Истраживач за скуп апликација.
4. Изаберите верзију апликације за APK/скуп апликација која није усклађена у горњем десном падајућем менију и забележите у којим издањима се налази.
5. Отворите верзију која има проблем са смерницама. То ће бити једна од ове 4 странице: Интерно/Затворено/Отворено тестирање или Производна верзија.
6. У горњем десном углу странице кликните на Направите ново издање. (Можда ћете прво морати да кликнете на Управљајте верзијом)
   • Ако је издање са APK-ом који крши смернице у радној верзији, одбаците издање.
7. Додајте верзију скупова апликација или APK-ова која је у складу са смерницама.
   • Уверите се да је верзија скупова апликација или APK-ова која није у складу са смерницама у одељку Није обухваћено за ово издање. Додатна упутства потражите у одељку Није обухваћено (скупови апликација и APK-ови) у овом чланку помоћи за Play конзолу.
8. Да бисте сачували промене издања, изаберите Сачувај.
9. Кад завршите припрему издања, изаберите Прегледајте издање.

Ако се APK који није у складу са смерницама објави у више верзија, поновите кораке 5–9 за сваку верзију.

Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.

Ту смо да помогнемо

Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте боље разумели кораке које треба да предузмете за решавање овог проблема, обратите се тиму за подршку за програмере.