Vaarantuneiden Firebase Cloud Messaging (FCM) ‐palvelinavainten korjaaminen

Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa on vaarantuneita Firebase Cloud Messaging (FCM) ‐palvelinavaimia.

Mistä on kyse?

Yhdessä tai useammassa sovelluksessasi on vaarantuneita FCM-palvelinavaimia. Hyökkääjä voi lähettää vaarantuneiden avainten avulla ilmoituksia kaikille haavoittuvuuksia sisältävän sovelluksen käyttäjille. Hyökkääjä voi hallita tällaisten ilmoitusten sisältöä, joka voi vaihdella loukkaavista viesteistä häiritseviin kuviin. Korjaa sovellustesi ongelmat alla olevien ohjeiden mukaisesti.  Sovelluksen FCM-palvelinavaimia vaarantavat sijainnit löytyvät sovelluksen Play Console ‑ilmoituksesta.

Toimi nyt

  1. Päivitä sovellus ja vaarantuneet FCM-avaimet alla olevien ohjeiden avulla.

    1. Jos sovelluksessasi on käytössä vanha FCM API etkä käytä sitä ilmoitusten lähettämiseen, poista vanha FCM API käytöstä.
    2. Jos käytössäsi on vanha FCM API ja käytät sitä ilmoitusten lähettämiseen, voit korjata ongelman kahdella eri tavalla:
      1. (Suositus) Siirry käyttämään FCM v1 APIa ja poista vanha FCM API käytöstä.
      2. Suojaa vanhan FCM APIn käyttö näin:
        1. Jos käytät vaarantunutta avainta vain FCM APIlla: 
          1. Luo uusi avain: Firebase-konsoli > Projektiasetukset > Cloud Messaging ja klikkaa Lisää palvelinavain. Käytä tätä uutta palvelinavainta, kun lähetät FCM-viestejä suojatusta palvelinympäristöstäsi. Varmista, että käytät tätä avainta vain suojatusta palvelinympäristöstä ja että se ei sisälly asiakaskoodiisi (sovellukset, binaarit). 
          2. Kun alat lähettää FCM-viestejä uudella palvelinavaimella, poista vaarantuneet palvelinavaimet GCP-konsolista. Sovelluksen FCM-palvelinavaimia vaarantavat sijainnit löytyvät Google Playlta tulleesta ilmoitussähköpostista. Vaihe c. kuvaa, miten löydät vaarantuneet avaimet näistä sijainneista. 
        2. Jos käytät vaarantunutta avainta FCM:n lisäksi myös muille sovellusliittymille:
          1. Siirry käyttämään FCM v1 APIa ja poista vanha FCM API käytöstä.
          2. Turvaa muu tuleva APIen käyttö: siirry käyttämään uutta avainta muissa sovellusliittymissä ja poista vaarantunut avain lopulta GCP-konsolista.
    3. Kun olet suorittanut toisen yllä kuvatuista vaiheista, poista vaarantunut FCM-palvelinavain sovelluksesi koodista. Sovelluksen FCM-palvelinavaimia vaarantavat sijainnit löytyvät Google Playlta tulleesta ilmoitussähköpostista. Löydät vaarantuneet avaimet tarkistamalla sovelluksesi koodin haavoittuvassa sijainnissa. Avain voi olla kyseisessä sijainnissa upotettuna merkkijonona tai ladattuna sovelluksesi XML-resursseista. Jälkimmäisessä tapauksessa löydät vaarantuneen avaimen sovelluksen res/values/strings.xml-tiedostosta. Ota huomioon seuraavat seikat:
      • Jos suoritat yllä kuvatut vaiheet, mutta et poista vaarantuneita avaimia sovelluksestasi, saat jatkossakin haavoittuvuusilmoituksia sähköpostiisi/Google Play Consolessa. 
      • Jos poistat vaarantuneet avaimet sovelluksestasi, mutta et suorita yllä kuvattuja vaiheita, ongelma ei korjaannu, sillä hyökkääjä voi yksinkertaisesti hakea avaimen sovelluksen vanhemmasta versiosta ja käyttää sitä hyökätäkseen sovellukseen.

2. Lähetä päivitetty APK

Näin lähetät päivitetyn sovelluspaketin tai APK:n:

  1. Siirry Play Consoleen.
  2. Valitse sovellus.
  3. Siirry sovelluspakettien hallintaan.
  4. Valitse käytäntöjen vastaisen APK:n tai sovelluspaketin sovellusversio oikean yläkulman avattavasta valikosta ja katso, mitä julkaisuja ne koskevat.
  5. Siirry kanavalle, jolla käytäntörikkomus on. Se on jokin seuraavista neljästä sivusta: sisäinen / suljettu / avoin testaus tai tuotanto.
  6. Valitse sivun oikeasta yläkulmasta Luo uusi julkaisu. (Sinun on ehkä valittava ensin Ylläpidä kanavaa)
    • Jos käytäntöä rikkovan APK:n sisältävä julkaisu on luonnostilassa, hylkää se.
  7. Lisää käytäntöjä noudattava sovelluspaketti- tai APK-versio.
    • Varmista, että sovelluspakettien tai APK:iden käytäntöjen vastainen versio sijaitsee julkaisun Ei oteta mukaan ‑osiossa. Lisätietoja saat tämän Play Console ‑ohjeartikkelin Ei oteta mukaan (sovelluspaketit ja APK:t) ‑osiosta.
  8. Jos haluat tallentaa julkaisuun tehtäviä muutoksia, valitse Tallenna.
  9. Kun olet valmistellut julkaisun, valitse Tarkista julkaisu.

Jos käytäntöjen vastainen APK julkaistaan useille kanaville, toista vaiheet 5–9 jokaisen kanavan kohdalla.

Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.

Autamme mielellämme

Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja ongelman ratkaisun vaiheista, voit ottaa yhteyttä kehittäjien tukitiimiimme.

Päävalikko
10030472442575867802
true
Ohjekeskushaku
true
true
true
true
true
5016068
false