Firebase क्लाउड से मैसेज (FCM) करने में इस्तेमाल की जाने वाली ऐसी सर्वर कुंजियों से जुड़ी समस्या को ठीक करने का तरीका, जो बिना अनुमति के सार्वजनिक की गई हैं

यह जानकारी, उन डेवलपर के लिए है जिनके ऐप्लिकेशन में Firebase क्लाउड से मैसेज (FCM) करने में इस्तेमाल की जाने वाली ऐसी सर्वर कुंजियां हैं जो बिना अनुमति के सार्वजनिक की गई हैं.

इससे क्या होता है

आपके एक या उससे ज़्यादा ऐप्लिकेशन में ऐसी FCM सर्वर कुंजियां हैं जो बिना अनुमति के सार्वजनिक की गई हैं. नुकसान पहुंचाने वाला हमलावर, आपके जोखिम की आशंका वाले ऐप्लिकेशन के सभी उपयोगकर्ताओं को पुश नोटिफ़िकेशन भेजने के लिए, बिना अनुमति के सार्वजनिक की गई कुंजियों का इस्तेमाल कर सकता है. हमलावर इस तरह की सूचनाओं के कॉन्टेंट को कंट्रोल करेगा. इसमें आपत्तिजनक मैसेज से लेकर, ग्राफ़िक/मानसिक तौर पर परेशान करने वाली तस्वीरें हो सकती हैं. अपने ऐप्लिकेशन से जुड़ी समस्या ठीक करने के लिए, कृपया नीचे ज़्यादा जानकारी के साथ दिया गया तरीका देखें.  Play Console में ऐप्लिकेशन की सूचना वाले पेज पर, ऐप्लिकेशन की उन जगहों की जानकारी मिल सकती है जहां FCM सर्वर कुंजियां बिना अनुमति के सार्वजनिक की गई हैं.

कार्रवाई ज़रूरी है

1. अपने ऐप्लिकेशन और बिना अनुमति के सार्वजनिक की गई FCM कुंजियों को, नीचे हाइलाइट किए गए तरीकों का इस्तेमाल करके अपडेट करना.

   1. अगर आपके ऐप्लिकेशन के लिए, लेगसी FCM एपीआई की सुविधा चालू की गई है और पुश नोटिफ़िकेशन भेजने के लिए इसका इस्तेमाल नहीं किया जा रहा, तो लेगसी FCM एपीआई को बंद करें,
   2. अगर आपने लेगसी FCM एपीआई की सुविधा चालू की है और पुश नोटिफ़िकेशन भेजने के लिए इसका इस्तेमाल किया जा रहा है, तो नीचे बताए गए दो तरीकों में से किसी एक को चुनें:
      1. (सुझाया गया) FCM v1 एपीआई का इस्तेमाल करने के लिए माइग्रेट करें और लेगसी FCM एपीआई को बंद करें.
      2. लेगसी FCM एपीआई का इस्तेमाल सुरक्षित बनाने के तरीके:
         1. अगर सिर्फ़ FCM एपीआई के लिए, बिना अनुमति के सार्वजनिक की गई कुंजी का इस्तेमाल किया जा रहा है, तो: 
            1. “सर्वर कुंजी जोड़ें” पर क्लिक करके, Firebase कंसोल > प्रोजेक्ट सेटिंग > क्लाउड से मैसेज करने की सेवा में जाकर नई कुंजी जनरेट करें.  इसके बाद, इस नई कुंजी का इस्तेमाल, अपने सुरक्षित सर्वर परिवेश से FCM मैसेज भेजने के लिए करें. पक्का करें कि इस कुंजी का इस्तेमाल सिर्फ़ आपके सुरक्षित सर्वर परिवेश से किया जाता हो और यह आपके क्लाइंट कोड (ऐप्लिकेशन, बाइनरी) में शामिल न किया गया हो. 
            2. जनरेट की गई नई सर्वर कुंजी का इस्तेमाल करके, FCM मैसेज भेजने के लिए माइग्रेट करने के बाद, जीसीपी कंसोल से बिना अनुमति के सार्वजनिक की गई सर्वर कुंजियां मिटाएं. Google Play के सूचना वाले ईमेल में, आपको अपने ऐप्लिकेशन की उन जगहों की जानकारी मिल सकती है जहां FCM सर्वर कुंजियां बिना अनुमति के सार्वजनिक की गई हैं. चरण सी में यह बताया गया है कि आप इन जगहों से बिना अनुमति के सार्वजनिक की गई कुंजियां कैसे पा सकते हैं. 
         2. अगर आप FCM के साथ-साथ अन्य एपीआई के लिए, बिना अनुमति के सार्वजनिक की गई कुंजी का इस्तेमाल कर रहे हैं, तो:
            1. FCM v1 एपीआई का इस्तेमाल करने के लिए माइग्रेट करें और लेगसी FCM एपीआई को बंद करें.
            2. आने वाले समय में अपने एपीआई से जुड़े अन्य इस्तेमाल को सुरक्षित रखने के लिए, बिना अनुमति के सार्वजनिक की गई ऐसी कुंजी का इस्तेमाल न करें जो अन्य एपीआई के साथ इस्तेमाल की गई हो. साथ ही, जीसीपी कंसोल से वह कुंजी भी मिटा दें जो बिना अनुमति के सार्वजनिक की गई है.
   3. ऊपर दिए गए तरीकों में से किसी एक को पूरा करने के बाद, अपने ऐप्लिकेशन कोड से बिना अनुमति के सार्वजनिक की गई FCM सर्वर कुंजी मिटाएं. Google Play के सूचना वाले ईमेल में, आपको अपने ऐप्लिकेशन की उन जगहों की जानकारी मिल सकती है जहां FCM सर्वर कुंजियां बिना अनुमति के सार्वजनिक की गई हैं. जिन जगहों पर आपको जोखिम की आशंका है उन जगहों पर ऐप्लिकेशन कोड की जांच करें, ताकि आपको बिना अनुमति के सार्वजनिक की गई कुंजियां मिल जाएं. कुंजी को उस जगह पर एक स्ट्रिंग के तौर पर एम्बेड किया गया होगा या आपके ऐप्लिकेशन के एक्सएमएल संसाधनों से उस जगह पर लोड किया गया होगा. अगर कुंजी को आपके ऐप्लिकेशन के एक्सएमएल संसाधनों से उस जगह पर लोड किया गया है, तो बिना अनुमति के सार्वजनिक की गई कुंजी पाने के लिए, अपने ऐप्लिकेशन की res/values/strings.xml फ़ाइल देखें. कृपया नीचे दी गई जानकारी पर ध्यान दें:
      • अगर आप ऊपर बताए गए चरणों को अपनाते हैं, लेकिन अपने ऐप्लिकेशन से वे कुंजियां नहीं मिटाते जो बिना अनुमति के सार्वजनिक की गई हैं, तो आपको अपने ईमेल/Google Play Console पर जोखिम की आशंका से जुड़ी सूचनाएं मिलती रहेंगी. 
      • अगर आप अपने ऐप्लिकेशन से बिना अनुमति के सार्वजनिक की गई कुंजियां मिटा देते हैं, लेकिन ऊपर दिए गए तरीकों का इस्तेमाल नहीं करते, तो आपने असल में समस्या को ठीक नहीं किया. हमलावर अब भी आपके ऐप्लिकेशन के किसी पुराने वर्शन में वह कुंजी ढूंढ सकता है और उसका इस्तेमाल करके, आपके ऐप्लिकेशन को नुकसान पहुंचा सकता है.

2. अपडेट किया गया APK सबमिट करना

अपडेट किए गए ऐप्लिकेशन बंडल या APK सबमिट करने के लिए:

1. अपने Play Console पर जाएं.
2. ऐप्लिकेशन चुनें.
3. ऐप्लिकेशन बंडल एक्सप्लोरर पर जाएं.
4. सबसे ऊपर दाईं ओर मौजूद ड्रॉपडाउन मेन्यू में, नीतियों का पालन न करने वाले APK/ऐप्लिकेशन बंडल का ऐप्लिकेशन वर्शन चुनें. साथ ही, यह भी नोट करें कि वे APK/ऐप्लिकेशन बंडल किस रिलीज़ में इस्तेमाल किए जा रहे हैं.
5. नीति से जुड़ी समस्या वाले ट्रैक पर जाएं. यह इन चारों पेज में से कोई एक होगा: संगठन में काम करने वालों के लिए उपलब्ध जांच / चुने हुए लोगों के लिए उपलब्ध जांच / सबके लिए उपलब्ध जांच या प्रोडक्शन.
6. पेज के सबसे ऊपर दाईं ओर, नई रिलीज़ बनाएं पर क्लिक करें. (पहले आपको ट्रैक मैनेज करें पर क्लिक करना पड़ सकता है)
   • अगर उल्लंघन करने वाले APK की रिलीज़, ड्राफ़्ट स्थिति में है, तो उसे खारिज करें.
7. ऐप्लिकेशन बंडल या APKs का ऐसा वर्शन जोड़ें जो नीति का पालन करता हो.
   • पक्का करें कि ऐप्लिकेशन बंडल या APKs का वह वर्शन जो नीतियों का पालन नहीं करता है वह इस रिलीज़ के, शामिल नहीं किए गए सेक्शन में हो. ज़्यादा जानकारी के लिए, कृपया Play Console के सहायता लेख का "शामिल नहीं किए गए (ऐप्लिकेशन बंडल और APKs)" सेक्शन देखें.
8. अपनी रिलीज़ में किए गए बदलाव सेव करने के लिए, सेव करें चुनें.
9. जब आपकी रिलीज़ तैयार हो जाए, तो रिलीज़ की समीक्षा करें चुनें.

अगर नीति का पालन नहीं करने वाले APK को एक से ज़्यादा ट्रैक पर रिलीज़ किया गया है, तो हर ट्रैक में पांच से नौ तक के तरीकों को दोहराएं.

दोबारा सबमिट करने पर, आपके ऐप्लिकेशन की फिर से समीक्षा की जाएगी. इस प्रक्रिया में कई घंटे लग सकते हैं. अगर ऐप्लिकेशन, समीक्षा में पास होता है और पब्लिश कर दिया जाता है, तो कुछ और करने की ज़रूरत नहीं है. अगर ऐप्लिकेशन, समीक्षा में फ़ेल हो जाता है, तो उसका नया वर्शन पब्लिश नहीं किया जाएगा और आपको ईमेल से इसकी सूचना मिल जाएगी.

हम आपकी मदद के लिए हमेशा तैयार हैं

जोखिम की आशंका से जुड़ा कोई तकनीकी सवाल पूछने के लिए, इसे Stack Overflow पर पोस्ट किया जा सकता है. और इसके साथ “android-security” टैग का इस्तेमाल किया जा सकता है. इस समस्या को ठीक करने का तरीका जानने के लिए, हमारी डेवलपर सहायता टीम से संपर्क किया सकता है.