Correção de chaves de servidor do Firebase Cloud Messaging (FCM) expostas

Estas informações são destinadas a desenvolvedores com apps que contenham chaves de servidor do Firebase Cloud Messaging (FCM) expostas.

O que está acontecendo

Um ou mais dos seus apps contêm chaves de servidor do FCM expostas. Um invasor pode usar as chaves expostas para enviar notificações push a todos os usuários do app vulnerável. O invasor controlaria o conteúdo dessas notificações, que poderiam incluir mensagens ofensivas e imagens explícitas/perturbantes. Veja abaixo as etapas detalhadas para corrigir o problema dos seus apps. Os locais no app que expõem chaves de servidor do FCM podem ser encontrados na notificação do Play Console do app.

Ação necessária

  1. Atualize seu app e as chaves do FCM expostas seguindo as etapas abaixo.

    1. Se a API FCM legada estiver ativada para seu app e não for usada para enviar notificações push, desative a API FCM legada.
    2. Se você tiver a API FCM legada ativada e usá-la para enviar notificações push, siga uma destas etapas:
      1. (Recomendado) Migre para a API FCM v1 e desative a API FCM legada.
      2. Proteja o uso da API FCM legada:
        1. Se você estiver usando a chave exposta apenas para a API FCM:
          1. Para criar uma nova chave, acesse Console do Firebase > Configurações do projeto > Cloud Messaging clicando em "Adicionar chave do servidor". Use essa nova chave do servidor para enviar mensagens do FCM do seu ambiente de servidor seguro. Use essa chave somente no ambiente de servidor seguro e se não estiver incluída no código do cliente (apps e binários).
          2. Depois de migrar para o envio de mensagens do FCM usando a nova chave de servidor, exclua as chaves expostas do Console do GCP. Os locais no seu app que expõem chaves de servidor do FCM podem ser encontrados no e-mail de notificação do Google Play. A etapa c descreve como acessar as chaves expostas desses locais.
        2. Se você estiver usando a chave exposta para outras APIs, incluindo a FCM, faça o seguinte:
          1. Migre para a API FCM v1 e desative a API FCM legada.
          2. Para preparar os outros usos da API para o futuro, faça a migração da chave exposta nas outras APIs e exclua-a do Console do GCP.
    3. Após seguir uma das etapas acima, exclua a chave do servidor do FCM exposta do código do seu app. Os locais no seu app que expõem chaves de servidor do FCM podem ser encontrados no e-mail de notificação do Google Play. Para acessar as chaves expostas, verifique o código do app no local vulnerável. A chave pode ser incorporada como uma string ou carregada nesse local pelos recursos XML do app. No último caso, verifique o arquivo res/values/strings.xml do app para acessar a chave exposta. Observações:
      • Se você seguir as etapas acima, mas não excluir as chaves expostas do app, continuará recebendo notificações de vulnerabilidade por e-mail ou pelo Google Play Console.
      • Se você excluir as chaves expostas do app, mas não seguir as etapas acima, o problema não será corrigido, já que um invasor pode encontrar a chave em uma versão mais antiga do app e usá-la para atacá-lo.

2. Envie o APK atualizado.

Para enviar um pacote de apps ou APK atualizado, faça o seguinte:

  1. Acesse o Play Console.
  2. Selecione o app.
  3. Acesse o Explorador de pacotes de apps.
  4. Selecione a versão do app do APK/pacote de apps não compatível no menu suspenso no canto superior direito e anote a versão relevante.
  5. Acesse a faixa com o problema de política. Ela será uma destas quatro páginas: teste interno, fechado, aberto ou produção.
  6. No canto superior direito da página, clique em Criar nova versão. Talvez seja necessário clicar em "Gerenciar faixa" primeiro.
    • Se a versão do APK com violação estiver em estado de rascunho, descarte-a.
  7. Adicione a versão dos pacotes de apps ou APKs compatíveis com a política.
    • Confira se a versão que não está em conformidade dos pacotes de apps ou APKs está na seção Não incluídos desta versão. Para mais orientações, consulte a seção "Não incluídos (pacotes de apps e APKs)" neste artigo da Central de Ajuda do Play Console.
  8. Para salvar as alterações da versão, selecione Salvar.
  9. Depois de preparar a versão, selecione Avaliar versão.

Se o APK não compatível for lançado em várias faixas, repita as etapas 5 a 9 em cada uma delas.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Estamos aqui para ajudar

Em caso de dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow (em inglês) e use a tag "android-security". Se precisar de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Menu principal
13822047627336713516
true
Pesquisar na Central de Ajuda
true
true
true
true
true
5016068
false