#android #random
#Android #Случайный
Вопрос:
запуск gradle build в проекте или модуле Android приводит к следующей записи отчета lint: Потенциально небезопасные случайные числа на Android 4.3 и более ранних версиях. Читать https://android-developers.blogspot.com/2013/08/some-securerandom-thoughts.html для получения дополнительной информации.
Это обеспечивает простое в реализации исправление для указанной проблемы. Но мне интересно, нужно ли ее применять, учитывая, что ей 5 лет, или это можно игнорировать?
Спасибо
Ответ №1:
Это зависит от того, должно ли ваше приложение поддерживать Android версии 4.3 и более ранние, а также от того, почему вы используете SecureRandom в своем приложении (например, для защиты информации или защищенных коммуникаций), и от риска для безопасности, связанного с неиспользованием исправления, предложенного на этой странице, для исправления использования SecureRandom в вашем приложении в более старых версиях. Однако обратите внимание, что, согласно панели мониторинга распространения, только около 3,5% устройств Android, которые недавно посетили Google Play Store, работали с версией 4.3 и более ранними. Этот процент, вероятно, будет меньше для вашего приложения, если minSdkVersion значение больше 10, и этот процент, вероятно, будет уменьшаться с течением времени.
Комментарии:
1. Спасибо, Питер. Итак, из того, что вы говорите, уязвимость все еще присутствует для устройств <= 4.3 . Мне было интересно, было ли бы исправлено через 5 лет для всех платформ, но я думаю, что нет. Спасибо.
2. Я не подразумеваю, что уязвимость SecureRandom не была исправлена в версиях 4.3 и более ранних. Это могло быть, но бюллетени по безопасности Android (в которых описывается, какие уязвимости были исправлены) относятся только к августу 2015 года. Кроме того, большинство исправлений операционной системы для устройств Android управляются не Google или разработчиками Android, а самими производителями устройств.