“您的应用程序包含不安全的加密加密模式”-如何摆脱此警告?
几天前,在Google Play控制台的“ APK的预发布报告”中,它开始标记我
Unsafe encryption
Detected in APK ???
Your app contains unsafe cryptographic encryption patterns. Please see this Google Help Centre article for details.
Vulnerable classes:
c.j.a.s.J.b
但是,自从APK诞生之初,我就没有更改加密代码/描述代码中的任何内容。因此,我不确定Google为什么会在最近的APK上警告我?
任何想法如何解决?因此,有关脆弱类c.j.a.s.J.b的信息没有帮助。
我尝试使用Proguard + mapping.txt回溯c.j.a.s.J.b,但能够弄清楚那是什么类。
您知道如何摆脱Google安全警告吗?
2 个答案:
答案 0 :(得分:2)
在Google剧本中,建议使用功能名称与易受攻击的类,在对话框中可以看到。
查看您的应用程序以获取用于密码加密操作的静态计算密钥,初始化向量和/或盐,并确保安全构造这些值
例如:
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES/GCM/NoPadding”);
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
GCMParameterSpec paramSpec = new GCMParameterSpec(256, iv.getBytes());
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
您将函数调用为:
byte[] cipherText = encryptionUtil(“abcdef...”, “010203040506”, plainText);
在这里,您的加密密钥“abcdef...”是作为静态字符串提供的。静态计算的值是在每次执行应用程序时都相同的值。可以从您的应用程序中提取静态计算的密码值,并将其用于攻击应用程序的加密数据。
因此您可以使用 EncryptedSharedPreferences 存储本地数据
参考链接https://developer.android.com/reference/androidx/security/crypto/EncryptedSharedPreferences
OR
答案 1 :(得分:-1)
我认为您正在使用一些带有静态存储密钥的加密/解密代码。 静态计算的值是在每次执行应用程序时都相同的值。可以从您的应用程序中提取静态计算的密码值,并将其用于攻击应用程序的加密数据。 因此,Google会发出此警告,以使用动态生成的密钥更改存储的密钥。 为此,您可以在每次启动时生成不同的密钥。 要解决此问题,请在每次启动时生成动态加密/解密密钥。 为此,您可以在https://developer.android.com/jetpack/androidx/releases/security
中找到更多信息。- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?