我使用平台代号开发了一款应用,在Play商店提交应用后,我收到了以下警告电子邮件:
*“我们检测到您在此电子邮件末尾列出的应用程序使用的是WebViewClient.onReceivedSslErrorHandler的不安全实现。您还可以查看受影响的应用程序列表,以及版本号和类名称,位于开发者控制台的“警报”页面上。
您当前的实施会忽略所有SSL证书验证错误,使您的应用容易受到中间人攻击。攻击者可以使用JavaScript更改受影响的WebView内容,读取传输的数据(例如登录凭据),并在应用程序内执行代码。
发生了什么
从2016年11月25日开始,Google Play将阻止发布包含此漏洞的所有新应用或更新。您发布的APK版本将不受影响,但除非您解决此漏洞,否则对该应用的任何更新都将被拒绝。 需要采取措施
我正在研究,但遗憾的是我没有发现任何相关信息。我认为这可能是平台的内部问题,但不确定。你觉得怎么样?
提前致谢。
答案 0 :(得分:1)
未正确验证SSL连接的证书是一个严重的问题,因为这样可以有效地削弱SSL提供的保护,并允许轻松的人在中间攻击。这样攻击者可能会嗅探传输的数据,甚至修改数据。 因此,问题应该得到解决。
但是,根据当前显示的信息,无法确定错误是在您的(未知)代码或某些(未知)第三方库中,还是错误地使用了第三个部分库。但是这种错误的一个常见原因是,人们正在尝试使用自签名证书并为此目的关闭验证。另一个常见原因是打算仅关闭开发验证,但无意中无法再次启用生产。
答案 1 :(得分:0)
您可以查看Codename One端口的来源,看看没有使用该方法:
据我所知,在Codename One中没有这样的违规行为。因此我可以想到两个选择:
谷歌是错的 - 这不是第一次和那些家伙一起...... + 我前几天提交了一个Codename One Android应用程序并且没有出现这样的错误
您在项目中添加了第三方cn1lib / extension / native代码,您可以通过查看android/native或lib目录中的内容来查看是否有任何内容或后者的.cn1lib文件。