Google Play Sicherheitswarnung für unsichere TrustManager

In einer meiner apps bin ich über das HTTPS mit einem selbstsignierten Zertifikat und folgte dem Beispiel-code aus dem android-developer-training-Website (https://developer.android.com/training/articles/security-ssl.html#UnknownCa).

Vor kurzem habe ich die folgende Warnung, die sagen, dass die aktuelle Implementierung ist nicht gesichert:

Security alert

Ihre app über eine unsichere Implementierung der
X509TrustManager-Schnittstelle mit einem Apache-HTTP-client, was eine
Sicherheitsanfälligkeit. Bitte sehen das Google Hilfe-Center Artikel für
details, einschließlich der Frist für die Behebung der Schwachstelle.

Kann mir jemand weitere Informationen geben, auf was sollte aktualisiert werden, die außerhalb der Beispielcode oben verlinkten?

Sollte ich bei der Implementierung einer benutzerdefinierten TrustManager? Wenn ja, was sollten Sie überprüfen?

  • Ähm, das scheint sein bedeckt in in der Google Hilfe-Center-Artikel: "Zum richtigen Umgang mit SSL-Zertifikat-Validierung, ändern Sie den code in das checkServerTrusted-Methode Ihres benutzerdefinierten X509TrustManager-Schnittstelle zu erhöhen, entweder CertificateException oder IllegalArgumentException, wenn das Zertifikat, das vom server nicht erfüllt Ihre Erwartungen." Wie genau sind Sie bei der Einrichtung Ihrer TrustManager? Wie verwenden Sie es?
  • genau wie im Beispiel-code developer.android.com/training/articles/... Sollte ich Dinge anders machen?
  • Es gibt keinen code für das selbst-signierte server-Zertifikat-Szenario auf der Seite, die Sie verlinkt wird. Es ist der code für das unbekannte-Zertifikat-Autorität Szenario.
  • Der Abschnitt über das selbst-signierte Zertifikat bezieht sich auf die gleichen sample-code: The second case of SSLHandshakeException is due to a self-signed certificate, which means the server is behaving as its own CA. This is similar to an unknown certificate authority, so you can use the same approach from the previous section.
  • Ich bin auch auf der Suche in diesem Beispiel für das implementieren benutzerdefinierter TrustManager aber ich bin mir nicht sicher, ob das ausreichend ist. blog.fordemobile.com/2012/04/https-requests-on-android.html (Blick auf EasyX509TrustManager Umsetzung)
  • Wenn Sie buchstäblich mit dem code aus dem Google docs, und Sie haben nicht implements X509TrustManager im code überall, vielleicht ist es aus einer Bibliothek in Ihr Projekt, anstatt Ihren eigenen code. Verwendest du irgendwelche Bibliotheken mit Internet-Zugang (z.B., ad-Netzwerke)?
  • Ich denke ich habe es gefunden! es ist in mobilecore.jar (IronSource ads). Danke für den Tipp zu suchen, die in externen Bibliotheken

InformationsquelleAutor Muzikant | 2016-02-17
  1. 3

    Für mich war das problem Mobilecore. Ich habe entfernt die Bibliothek aus der app und laden Sie eine neue version der apk und die Warnung ist verschwunden aus dem GPlay Dev-Konsole.

    InformationsquelleAutor follacabras
  2. 14

    Versuchen, Suche nach "TrustManager" in Ihren codes, wenn keiner zu finden ist, die meisten Fällen ist es wegen third-party-Bibliotheken enthalten.

    War es für mich, weil mit einer älteren version von ACRA (https://github.com/ACRA/acra).

    • Wie bereits in den Kommentaren zu der Frage, das war ein ähnlicher Fall mit einem anderen 3rd-party-Bibliothek
    • Gibt es eine Möglichkeit, die wir fangen können dieses Problem während der Kompilierung wie mit Lint oder ein statisches Analyse-tool.
    • Bezüglich ACRA, siehe github.com/ACRA/acra/issues/374
    • Ich Suche checkServerTrusted in mapping.txt produziert von Proguard.
    InformationsquelleAutor Rejinderi
  3. 3

    Spät, aber hoffe, es kann jemand helfen, rufen Sie diese Methode auf, bevor die Anfrage an den server. Wenn das Zertifikat nicht Vertrauen, müssen Sie implementieren, dialog oder etwas, so dass Benutzer können entscheiden, hier habe ich mit Hilfe von alert-dialog.

    HTML:

    public static void trustSSLCertificate(final Activity mActivity, final DownloadPortalTask task){
        try {
            HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            });

            SSLContext context = SSLContext.getInstance("TLS");
            context.init(null, new X509TrustManager[]{new X509TrustManager() {
                public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                }

                public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    try {
                        chain[0].checkValidity();
                    } catch (final Exception e) {

                        mActivity.runOnUiThread(new Runnable() {
                            @Override
                            public void run() {
                                AlertDialog.Builder builder = new AlertDialog.Builder(mActivity);
                                AlertDialog alertDialog = builder.create();
                                alertDialog.setCancelable(false);
                                String message = "There a problem with the security certificate for this web site.";
                                message += "\nDo you want to continue anyway?";
                                alertDialog.setTitle("SSL Certificate Error");
                                alertDialog.setMessage(message);
                                alertDialog.setButton(DialogInterface.BUTTON_POSITIVE, "OK", new DialogInterface.OnClickListener() {
                                    @Override
                                    public void onClick(DialogInterface dialog, int which) {
                                        acceptSSL = true;
                                        return;

                                    }
                                });

                                alertDialog.setButton(DialogInterface.BUTTON_NEGATIVE, "Cancel", new DialogInterface.OnClickListener() {
                                    @Override
                                    public void onClick(DialogInterface dialog, int which) {
                                        acceptSSL = true;
                                        task.onInterruptedDownload();
                                    }
                                });
                                alertDialog.show();

                            }

                        });

                        while( !acceptSSL){
                            try{
                                Thread.sleep(1000);
                            } catch( InterruptedException er) { }
                        }

                    }
                }
                public X509Certificate[] getAcceptedIssuers() {
                    return new X509Certificate[0];
                }
            }}, new SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(context.getSocketFactory());
        } catch (Exception e) { //should never happen
            e.printStackTrace();
        }
    }

    InformationsquelleAutor hoanngothanh
  4. 1

    Habe ich auch erkannt, dass ARCA 4.3 erscheint möglicherweise die Ursache sein für meine app.

    Frage, weiß jemand, um zu überprüfen, dass das Problem behoben ist? Derzeit sind im Play store zu der ich Zugang habe, ist nicht die Ursache, die Google Problem mir die Warnung, aber eine unserer Partner veröffentlicht hat, die app hat die Warnung. Ich würde gerne überprüfen, ob das Problem behoben ist, bevor der Versorgung unserer partner mit einem neuen APK.

    InformationsquelleAutor Chris
Schreibe einen Kommentar