我是刚刚收到library project的共享notice的撰稿人,其中一位客户收到了Google Play商店发出的此警告,
Hello Google Play开发人员,7月份,应用程序提交内容列于 由于执行不安全,此电子邮件的结尾被拒绝 WebViewClient.onReceivedSslErrorHandler。这个实现 忽略所有SSL证书验证错误,制作您的应用 容易受到中间人攻击。攻击者可以改变 影响WebView的内容,读取传输的数据(如登录 凭证),并使用JavaScript在应用程序内执行代码。
在查看扩展WebViewClient的AuthorizationWebViewClient时,我们没有实现onReceivedSslErrorHandler,这意味着我们属于默认实现,将此库放在明文中。
如果这是误报或者是否有必要对此库进行更改,我们是否可以得到确认?
更新: 这是因为当存在此漏洞时,使用的SDK版本要老得多,当前的代码库没有此问题因此断开连接。
答案 0 :(得分:1)
我不确定具体的应用程序是什么,但有些应用程序有一个易受攻击的com.microsoft.services.msa.AuthorizationRequest $ OAuthDialog $ AuthorizationWebViewClient。
例如,反汇编一个应用程序的代码表明它确实具有onReceivedSslErrorHandler实现。
Microsoft.EntityFrameworkCore.*