谷歌播放警告：SSL錯誤處理程序漏洞有假陽性的WebViewClient.onReceivedSslErrorHandler SSL

Question

我爲剛剛收到客戶的notice一個收到這樣的警告從谷歌Play商店的共享library project貢獻者，

Google Play開發者好，7月， 列出的應用程序提交被拒絕，這是因爲WebViewClient.onReceivedSslErrorHandler的不安全實施 。此實施 會忽略所有SSL證書驗證錯誤，使您的應用程序容易受到中間人攻擊。攻擊者可能會更改受影響的WebView內容，讀取傳輸的數據（如登錄 憑據），並使用JavaScript在應用程序內執行代碼。

當尋找到我們AuthorizationWebViewClient延伸WebViewClient，我們沒有實現onReceivedSslErrorHandler，這意味着我們歸入默認實現將在明確這個庫。

如果這是一個誤報，或者如果有必要對這個庫進行更改，我們可以得到確認嗎？

更新： 這是由於當存在此漏洞時使用的SDK的版本要舊得多，因此當前代碼庫不存在此問題，因此斷開連接。

Answer 1

我不確定具體的應用程序是什麼，但有些應用程序具有易受攻擊的com.microsoft.services.msa.AuthorizationRequest $ OAuthDialog $ AuthorizationWebViewClient。

例如，反彙編一個應用程序的代碼表明它實際上有一個onReceivedSslErrorHandler實現。

.method public onReceivedSslError(Landroid/webkit/WebView;Landroid/webkit/SslErrorHandler;Landroid/net/http/SslError;)V 
    .registers 4 
    .param p1, "view" # Landroid/webkit/WebView; 
    .param p2, "handler" # Landroid/webkit/SslErrorHandler; 
    .param p3, "error" # Landroid/net/http/SslError; 

    .prologue 
    .line 143 
    invoke-virtual {p2}, Landroid/webkit/SslErrorHandler;->proceed()V 

    .line 144 
    return-void 
.end method