问题标签 [android-security]

在我的一个应用程序中，我最近收到了来自 Google Play 的以下警报：

您的应用正在使用带有 Apache HTTP 客户端的 X509TrustManager 接口的不安全实现，从而导致安全漏洞。请参阅此 Google 帮助中心文章了解详细信息，包括修复漏洞的截止日期。

有人可以提供更多关于应该更新什么的细节吗？

我在 Play 商店中的一个应用最近收到了这个警报，我完全不知道应该做什么来停止这个警报。请参考这个。

我的应用程序中的场景：

该应用程序中涉及支付网关，但付款是通过 webview 进行的，我几乎可以肯定此警报可能是这些 webviews 的结果。

来自谷歌的见解：

据我搜索，我遇到的OnReceivedSslError频率更高，甚至警报也清楚地表明我要正确处理该方法。但我完全迷失了，因为我一开始还没有实现那个方法。

更深入的冲浪让我找到了这样的链接，这个和这个也是。我在所有链接中发现的共同点是它们都指的是旧版本的 android。但我将我的 minSDK 用作 14，即 Android 4.0 及更高版本。于是我又迷路了。我认为当我们https在 webview 中使用 a 时会出现此警报。

所以我的问题是

1. 我是怎么突然发现这个问题的？

   这个应用程序已经在 Play 商店中存在 6 个多月了，这个警报突然出现了！！！完全不知道发生了什么！！

2. 如何重现该问题？

   我已经尝试了很多方法来重现这个问题，并且我已经实现了这里给出的 SSL 方法：但似乎没有任何效果。

3. 此问题是否会以任何方式影响我的付款或我的应用程序？

如何重现此问题以了解更多信息以及如何停止此警报？

我试过什么？：

由于我对旧的 android 版本有疑问，我用我的 minSDK 设计了一个模拟器，但即使这样我的流程也没有进入该方法。

我的疑问：

是否有可能触发此问题的不太真实的 SSL？

关于这个问题的任何想法和见解都会很有帮助。提前致谢。我只需要禁用该警报，就这么简单。

您的应用正在使用带有 Apache HTTP 客户端的 X509TrustManager 接口的不安全实现，从而导致安全漏洞。请参阅此 Google 帮助中心文章了解详细信息，包括修复漏洞的截止日期。

此消息显示在开发人员控制台上的我的应用程序中。我还没有实施X509TrustManager。因此，它必须位于 app.js 中使用的库之一中。

如何确定导致此问题的库？

我在 Google Play 中有一个应用程序，今天我收到了来自 Google 的邮件说：

Google Play 警告：您正在使用 X509TrustManager 的不安全实现

它说明了 SSL 证书问题和解决问题的方法。

我问这个问题是因为好奇

1. 实际上这个警告是关于什么的？
2. 我没有在我的应用程序中使用任何与网络相关的活动（它是一个本地数据库驱动的应用程序），那么为什么我的应用程序会出现此警告？

更多细节：

我的应用程序是使用 Appcelerator Titanium 构建的，谷歌说这个实现是在ti.modules.titanium.network.NonValidatingTrustManager;. 我确信我从未在我的代码中使用过这样的类。

首先，我应该说，我主要是一名 PHP 开发人员。我在 Google Play 上有一个相对陈旧的应用程序，它是在 2012 年底针对 API 15 构建的。

在这里查看了其他人的问题，这些问题与来自 Google Play 的接口 X509TrustManager 警报的不安全实现有关，但似乎没有一个适用于我。我没有通过 SSL 发出请求，也没有使用 Google Play 服务之外的任何外部库。

警报说问题出在 apache.http 上。具体来说，它说：

您的应用正在使用带有 Apache HTTP 客户端的 X509TrustManager 接口的不安全实现，从而导致安全漏洞。请参阅此 Google 帮助中心文章了解详细信息，包括修复漏洞的截止日期。

由于我没有使用 SSL 连接，我不确定如何继续。我没有使用 SSL 进行连接这一事实是 Google 遇到的问题吗？我与服务器交换的数据不能被认为是敏感的——失物招领的宠物清单。

该应用程序相关的网站是自愿的、自筹资金的和共享托管的，因此我不希望此时强制添加 SSL。在这里实施 SSL 是我唯一的出路吗？

我正在开发一个 Android 应用程序并在应用程序购买中进行测试，我必须在 Google Play 开发者控制台中设置它的页面。这需要我上传一个 .apk，所以我上传了一个创建 IntelliJ IDEA 的空白项目。IntelliJ 可以选择使用其默认证书（其密码是公开的）进行签名，我使用此选项认为这无关紧要，因为我稍后会上传使用我自己的证书签名的应用程序。

但据我所知，Google 不允许我在应用发布后更改 .apk 的签名证书（我发布到封闭 alpha 测试）。我唯一的选择是在 Google Play 控制台中创建一个新应用程序，但这需要有一个不同的应用程序 ID，我真的不想要这个。

如果我发布我的应用程序并且每个人都可以找到我用于签署我的应用程序的证书的密码（并且他们也可以下载证书），这会涉及什么样的风险？有吗？

Google 建议我在我的 Android 应用程序中有一个不安全的接口 X509TrustManager 实现，需要按如下方式更改我的代码：

要正确处理 SSL 证书验证，请更改自定义 X509TrustManager 接口的 checkServerTrusted 方法中的代码，以在服务器提供的证书不符合您的期望时引发 CertificateException 或 IllegalArgumentException。对于技术问题，您可以发布到 Stack Overflow 并使用标签“android-security”和“TrustManager”。</p>

如何修改以下代码以解决上述问题？

我在 Google Play 中有一个应用程序，我收到了来自 Google 的邮件说：

此电子邮件末尾列出的您的应用程序使用了 X509TrustManager 接口的不安全实现。具体来说，在与远程主机建立 HTTPS 连接时，实现会忽略所有 SSL 证书验证错误，从而使您的应用容易受到中间人攻击。

要正确处理 SSL 证书验证，请更改自定义 X509TrustManager 接口的 checkServerTrusted 方法中的代码，以在服务器提供的证书不符合您的期望时引发 CertificateException 或 IllegalArgumentException。

我的应用程序使用“https”，我checkServerTrusted()的如下：

然后我修改这个函数：

自定义 SSLSocketFactory：

}

HttpClient函数：</p>

但是我对此不太了解，我只是根据电子邮件中的内容修改了我的代码，我想我还没有解决这个问题。这个警告​​到底是什么？如何解决？

为了开发适用于 Android 和 iOS 平台的应用程序，我只与 JDeveloper 合作了几个月。

最近Gfolks 向 DevConsole 建议他们不再支持 4.1.1 之前的 Cordova 插件

我没有找到任何“如何”升级 Cordova 插件，如果有人可以提供任何帮助，我将不胜感激。

目前我正在使用：JDeveloper Studio Edition 版本 12.1.3.0.0 MAF 2.1.1.0.41.150325.1239 Xcode 版本 6.4 (6E35b) Android API 16 - 22

我遇到了问题

您的应用正在使用带有 Apache HTTP 客户端的 X509TrustManager 接口的不安全实现，从而导致安全漏洞。请参阅此 Google 帮助中心文章了解详细信息，包括修复漏洞的截止日期。

我需要破坏我的应用程序代码以（我认为）解决问题。我需要知道更改是否有效，如果有效，我将修复修复导致的其他问题。如果我使用定时发布将构建上传到生产环境但没有使构建生效，它会在弹出错误消息中告诉我错误是否影响构建#？