Oprava prezradených kľúčov servera Firebase Cloud Messaging (FCM)
Tieto informácie sú určené vývojárom s aplikáciami, ktoré obsahujú prezradené kľúče servera Firebase Cloud Messaging (FCM).
Čo sa deje
Minimálne jedna vaša aplikácia obsahuje prezradené kľúče servera FCM. Škodlivý útočník môže pomocou prezradených kľúčov odosielať upozornenia aplikácie všetkým používateľom vašej aplikácie s nedostatočným zabezpečením. Útočník môže ovládať obsah týchto upozornení, od nevhodných správ po explicitné alebo znepokojujúce obrázky. Problém s aplikáciou vyriešte podľa podrobných pokynov uvedených nižšie. Miesta vo vašej aplikácii, kde sú prezradené kľúče servera FCM, nájdete v upozornení zo služby Play Console týkajúceho sa vašej aplikácie.
Vyžaduje sa akcia
-
Aktualizujte svoju aplikáciu a prezradené kľúče FCM podľa pokynov zvýraznených nižšie.
- Ak máte pre svoju aplikáciu povolené staré rozhranie FCM API a neodosielate pomocou neho upozornenia aplikácie, toto staré rozhranie FCM API zakážte.
- Ak máte staré rozhranie FCM API zapnuté a odosielate pomocou neho upozornenia aplikácie, môžete vykonať jeden z týchto dvoch krokov:
- (Odporúčané) Migrujte na rozhranie FCM v1 API a zakážte staré rozhranie FCM API.
- Zabezpečte používanie starého rozhrania FCM API takto:
- Ak používate prezradený kľúč iba pre rozhranie FCM API:
- V sekcii Konzola Firebase > Nastavenia projektu > Cloud Messaging vygenerujte nový kľúč kliknutím na Pridať kľúč servera. Pomocou tohto nového kľúča servera odosielajte správy služby FCM zo svojho zabezpečeného prostredia servera. Uistite sa, že tento kľúč používate iba zo zabezpečeného prostredia servera a že nie je zahrnutý v kóde klienta (aplikácie, binárne programy).
- Po migrovaní na odosielanie správ služby FCM pomocou nového vygenerovaného kľúča servera odstráňte prezradené kľúče servera z konzoly GCP. Miesta vo vašej aplikácii, kde sú prezradené kľúče servera FCM, nájdete v správe s upozornením zo služby Google Play. Krok c. opisuje, ako môžete získať prezradené kľúče z týchto miest.
- Ak prezradený kľúč používate pre iné rozhrania API vrátane rozhrania FCM, postupujte takto:
- Migrujte na rozhranie FCM v1 API a zakážte staré rozhranie FCM API.
- Ak chcete zabezpečiť používanie ďalších rozhraní API, odporúčame vám prestať používať prezradený kľúč pre iné rozhrania API a potom tento kľúč z konzoly GCP odstrániť.
- Ak používate prezradený kľúč iba pre rozhranie FCM API:
- Po vykonaní jedného z krokov vyššie odstráňte prezradený kľúč servera FCM zo svojho kódu aplikácie. Miesta vo vašej aplikácii, kde sú prezradené kľúče servera FCM, nájdete v správe s upozornením zo služby Google Play. Ak chcete získať prezradené kľúče, skontrolujte kód svojej aplikácie na mieste s nedostatočným zabezpečením. Kľúč môže byť buď vložený na tomto mieste ako reťazec, alebo sa môže na toto miesto načítavať zo zdrojov XML aplikácie. V druhom prípade získate prezradený kľúč kontrolou súboru
res/values/strings.xml
aplikácie. Upozornenie:- Ak vykonáte postup uvedený vyššie, ale prezradené kľúče z aplikácie neodstránite, v správach alebo službe Google Play Console budete ďalej dostávať upozornenia na nedostatok zabezpečenia.
- Ak prezradené kľúče z aplikácie odstránite, ale nevykonáte postup vyššie, problém tým nevyriešite, pretože útočník môže kľúč jednoducho nájsť v staršej verzii aplikácie a pomocou neho vašu aplikáciu napadnúť.
2. Odošlite aktualizovaný súbor APK
Ak chcete odoslať aktualizovaný balík aplikácie alebo súbor APK:
- Prejdite do služby Play Console.
- Vyberte príslušnú aplikáciu.
- Prejdite do prieskumníka balíkov aplikácie.
- V pravej hornej rozbaľovacej ponuke vyberte verziu aplikácie súboru APK alebo balíka aplikácie, ktorá nie je v súlade s pravidlami. Poznačte si, pod ktorými vydaniami sú zaradené.
- Prejdite do kanála, kde došlo k porušeniu pravidiel. Bude to jedna z týchto štyroch stránok: Interné / Uzavreté / Otvorené testovanie alebo Ostrá verzia.
- V pravom hornom rohu stránky kliknite na Vytvoriť nové vydanie. (Najprv bude možno potrebné kliknúť na Spravovať kanál)
- Ak je vydanie so súborom APK porušujúcim pravidlá v stave konceptu, zahoďte ho.
- Pridajte verziu balíkov aplikácie alebo súborov APK v súlade s pravidlami.
- Uistite sa, že verzia balíkov aplikácie alebo súborov APK, ktorá nie je v súlade s pravidlami, je uvedená v sekcii Nezahrnuté tohto vydania. Ďalšie pokyny nájdete v sekcii Nezahrnuté (balíky aplikácie a súbory APK) v tomto článku pomocníka služby Play Console.
- Ak chcete uložiť všetky zmeny vydania, vyberte Uložiť.
- Po dokončení prípravy vydania vyberte Skontrolovať vydanie.
Ak je súbor APK, ktorý nie je v súlade s pravidlami, vydaný vo viacerých kanáloch, zopakujte piaty až deviaty krok v každom kanáli.
Po opätovnom odoslaní bude vaša aplikácia znova skontrolovaná. Tento proces môže trvať niekoľko hodín. Ak aplikácia úspešne prejde kontrolou a bude zverejnená, nie je potrebné vykonať žiadne ďalšie kroky. Ak aplikácia neprejde kontrolou, jej nová verzia sa nezverejní a dostanete upozornenie e‑mailom.
Radi vám pomôžeme
Ak máte technické otázky týkajúce sa nedostatkov zabezpečenia, uverejnite príspevok vo fóre Stack Overflow a použite značku android-security. Ak potrebujete objasniť kroky potrebné na vyriešenie tohto problému, kontaktujte tím podpory pre vývojárov.