#android #google-play-console #android-security
#Android #google-play-консоль #android-безопасность
Вопрос:
Мое приложение было удалено со следующим сообщением
Мы обнаружили, что ваше приложение содержит уязвимости в системе безопасности, которые могут раскрыть информацию о пользователе или повредить устройство пользователя. Это нарушение политики злоупотреблений устройствами и сетями. В частности, ваши приложения уязвимы для небезопасной проверки имени хоста. Чтобы устранить эту проблему, выполните действия, описанные в этой статье справочного центра Google.
Я использую библиотеку Volley от Google для установления соединения. Это сообщение указывает мне на реализацию метода проверки в HostnameVerifier для соблюдения политик. Но я не использую HostnameVerifier и не нахожу его нигде в исходном коде.
При дальнейшем запросе служба поддержки Google прислала мне следующее
в настоящее время ваше приложение использует следующую уязвимую реализацию HostnameVerifier. Lg / a / a / a / a / l / e $ a; Lg / a / a / a / a / l / f $ a;
Я не понимаю эти последовательности символов, на которые они указывают.
Если у кого-нибудь есть какая-либо помощь в решении этой проблемы, мы будем очень признательны. Спасибо
Ответ №1:
в настоящее время наше приложение использует следующую уязвимую реализацию HostnameVerifier. Lg / a / a / a / a / l / e $ a; Lg / a / a / a / a / l / f $ a;
Я не понимаю эти последовательности символов, на которые они указывают.
L означает, что это тип класса и g/a/a/a/a/l/e$a представляет собой запутанное имя класса, где $a является внутренним классом. Посмотрите mapping.txt на build выходные данные вашего выпуска, чтобы декодировать обратно к исходному имени класса.
Даже если HostnameVerifier в вашем коде нет a, могут быть библиотеки, которые вы используете с плохой реализацией HostnameVerifier .
Комментарии:
1. Очень полезный ответ, спасибо.