Utbedring av eksponerte tjenernøkler for skymeldingstjenesten for Firebase (FCM)

Denne informasjonen er beregnet på utviklere med apper som inneholder eksponerte tjenernøkler for skymeldingstjenesten for Firebase (FCM).

Hva skjer?

Én eller flere av appene dine inneholder eksponerte FCM-tjenernøkler. Ondsinnede angripere kan bruke de eksponerte nøklene til å sende pushvarslinger til alle som bruker den sikkerhetsutsatte appen din. Angriperne kan kontrollere innholdet i slike varsler, som kan være alt fra støtende meldinger til eksplisitte eller opprørende bilder. Gå gjennom trinnene nedenfor for å løse problemet med appene dine. Du finner plasseringene i appen din som eksponerer FCM-tjenernøklene, i varselet for appen i Play-konsollen.

Handling påkrevd

  1. Oppdater appen din og eksponerte FCM-nøkler ved å følge trinnene nedenfor.

    1. Hvis du har slått på den eldre versjonen av FCM API for appen din og ikke bruker den til å sende pushvarslinger, slår du av den eldre versjonen av FCM API.
    2. Hvis du har slått på den eldre versjonen av FCM API og bruker den til å sende pushvarslinger, kan du velge ett av de følgende to trinnene:
      1. (Anbefalt) Gå over til å bruke FCM v1 API, og slå av den eldre versjonen av FCM API.
      2. Sikre bruken din av den eldre versjonen av FCM API ved å gjøre følgende:
        1. Hvis du bruker den eksponerte nøkkelen bare for FCM API:
          1. Generer en ny nøkkel via Firebase-konsollen > Prosjektinnstillinger > Skymeldingstjeneste ved å klikke på «Legg til tjenernøkkel». Bruk denne nye tjenernøkkelen til å sende FCM-meldinger fra det sikre tjenermiljøet ditt. Sørg for at du bare bruker denne nøkkelen fra det sikre tjenermiljøet, og at den ikke er inkludert i klientkoden (apper, binærprogrammer). 
          2. Når du har gått over til å sende FCM-meldinger med den nylig genererte tjenernøkkelen, sletter du de eksponerte tjenernøklene fra GCP-konsollen. Du finner plasseringene i appen din som eksponerer FCM-tjenernøklene, i e-postvarselet fra Google Play. I trinn c finner du en beskrivelse av hvordan du kan hente de eksponerte nøklene fra disse plasseringene. 
        2. Hvis du bruker den eksponerte nøkkelen for andre API-er, inkludert FCM, kan du gjøre følgende:
          1. Gå over til å bruke FCM v1 API, og slå av den eldre versjonen av FCM API.
          2. For å sikre API-bruken din i fremtiden kan du gradvis slutte å bruke den eksponerte nøkkelen for de andre API-ene, og til slutt slette den eksponerte nøkkelen fra GCP-konsollen.
    3. Når du har utført ett av trinnene ovenfor, kan du slette den eksponerte FCM-tjenernøkkelen fra appkoden din. Du finner plasseringene i appen din som eksponerer FCM-tjenernøklene, i e-postvarselet fra Google Play. For å finne de eksponerte nøklene, sjekk appkoden på den utsatte plasseringen. Nøkkelen kan enten være innebygd i plasseringen som en streng, eller den kan lastes inn på plasseringens fra appens XML-ressurser. I det siste tilfellet må du kontrollere appens res/values/strings.xml-fil for å finne den eksponerte nøkkelen. Vær oppmerksom på dette:
      • Hvis du utfører trinnene ovenfor, men ikke sletter de eksponerte nøklene fra appen din, mottar du fortsatt sikkerhetsvarsler via e-post eller i Google Play-konsollen. 
      • Hvis du sletter de eksponerte nøklene fra appen, men ikke utfører trinnene ovenfor, løser du ikke problemet, siden angripere enkelt kan finne nøkkelen i en eldre versjon av appen og bruke den til å angripe appen.

2. Send inn den oppdaterte APK-en din

Slik sender du inn en oppdatert appsamling eller APK:

  1. Gå til Play-konsollen.
  2. Velg appen.
  3. Gå til utforskeren for appsamlinger.
  4. Velg appversjonen til APK-en/appsamlingen som ikke overholder retningslinjene, i rullegardinmenyen øverst til høyre, og notér deg hvilke utgaver de er underlagt.
  5. Gå til målgruppen som har problemer knyttet til retningslinjene. Det er én av disse fire sidene: Intern/Lukket/Åpen testing eller Produksjon.
  6. Oppe til høyre på siden klikker du på Opprett ny utgave. (Det kan hende du må klikke på Administrer målgruppen først)
    • Hvis utgaven med APK-en som bryter retningslinjene, er et utkast, forkaster du utgaven.
  7. Legg til versjonen av appsamlingen eller APK-en som overholder retningslinjene.
    • Sørg for at versjonen av appsamlingen eller APK-en som ikke overholder retningslinjene, er under Ikke inkludert-delen av denne utgaven. Du finner mer informasjon i delen «Ikke inkludert (appsamlinger og APK-er)» i denne hjelpeartikkelen i Play-konsollen.
  8. For å lagre endringer du gjør i utgaven, velg Lagre.
  9. Velg Gå gjennom utgaven når du er ferdig med å klargjøre utgaven.

Hvis APK-en som ikke overholder retningslinjene, utgis til flere målgrupper, gjentar du trinn 5–9 i hver målgruppe.

Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis appene godkjennes etter gjennomgangen og publiseres, trenger du ikke å gjøre noe mer. Hvis de ikke godkjennes, blir ikke de nye appversjonene publisert, og du mottar et varsel på e-post.

Vi hjelper deg gjerne

Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.

Hovedmeny
15045828445911584888
true
Søk i brukerstøtte
true
true
true
true
true
5016068
false