1

我最近在 google play 上发布了一个产品发布版本的应用程序,并收到了来自 Google 的电子邮件:

在此处输入图像描述

我按照Google 支持的建议更新了我的代码:

class SslErrorHelper {

companion object {
    private val DIGITS_LOWER = charArrayOf('0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f')
    fun onSslError(context: Context, sslErrorHandler: SslErrorHandler, error: SslError) {
        // https://support.google.com/faqs/answer/7071387
        LogUtil.log("onSslError --> ${error.primaryError}")
        if (checkCertificate(error.certificate)) {
            sslErrorHandler.proceed()
        } else {
            ToastUtils.getInstance().showToast(context.getString(R.string.ssl_certificate_error))
            sslErrorHandler.cancel()
        }
    }

    /**
     * check the certificate
     */
    private fun checkCertificate(cert: SslCertificate): Boolean {
        val myCertSHA256Str = "SHA256 fingerprint of my server https certificate "
        val bundle = SslCertificate.saveState(cert)
        val bytes = bundle.getByteArray("x509-certificate")
        if (bytes != null) {
            try {
                val factory = CertificateFactory.getInstance("X.509")
                val ca = factory.generateCertificate(ByteArrayInputStream(bytes))
                val sha256 = MessageDigest.getInstance("SHA-256")
                val key = sha256.digest((ca as X509Certificate).encoded)
                val errorCertSHA256 = String(encodeHex(key))
                if (errorCertSHA256 == myCertSHA256Str) {
                    return true
                }

            } catch (e: Exception) {
                e.printStackTrace()
            }
        }
        return false
    }

    private fun encodeHex(data: ByteArray): CharArray {
        return encodeHex(data, DIGITS_LOWER)
    }

    private fun encodeHex(data: ByteArray, toDigits: CharArray): CharArray {
        val l = data.size
        val out = CharArray(l shl 1)
        var i = 0
        var j = 0
        while (i < l) {
            out[j++] = toDigits[0xF0 and data[i].toInt() ushr 4]
            out[j++] = toDigits[0x0F and data[i].toInt()]
            i++
        }
        return out
    }
}

}

onSslError在我的WebClient#onReceivedSslError.

当我将我的应用重新发布到 Google Play 时,它仍然报告 SSL 错误处理程序的漏洞。我也尝试这个答案android Google Play Warning: SSL Error Handler Vulnerability,不幸的是,它仍然没有工作!

之后,我尝试onReceivedSslError通过执行命令找到哪个类或lib实现了它find . -name '*.jar' -exec zipgrep -i onreceivedsslerror {} \;,发现Facebook-login sdk和ShareSdk已经实现了它,所以我尝试将它们从我的项目中删除。

综上所述,它仍然报告漏洞。

现在我的想法已经不多了。有人知道解决这个漏洞吗,或者你可以在这里分享你的经验。

谢谢,祝你有美好的一天!

4

1 回答 1

1

我更改了包名称,然后重新发布它。它在没有任何警告的情况下通过了。

于 2021-05-24T02:25:14.417 回答