我爲剛剛收到客戶的notice一個收到這樣的警告從谷歌Play商店的共享library project貢獻者,谷歌播放警告:SSL錯誤處理程序漏洞有假陽性的WebViewClient.onReceivedSslErrorHandler SSL
Google Play開發者好,7月, 列出的應用程序提交被拒絕,這是因爲WebViewClient.onReceivedSslErrorHandler的不安全實施 。此實施 會忽略所有SSL證書驗證錯誤,使您的應用程序容易受到中間人攻擊。攻擊者可能會更改受影響的WebView內容,讀取傳輸的數據(如登錄 憑據),並使用JavaScript在應用程序內執行代碼。
當尋找到我們AuthorizationWebViewClient延伸WebViewClient,我們沒有實現onReceivedSslErrorHandler,這意味着我們歸入默認實現將在明確這個庫。
如果這是一個誤報,或者如果有必要對這個庫進行更改,我們可以得到確認嗎?
更新: 這是由於當存在此漏洞時使用的SDK的版本要舊得多,因此當前代碼庫不存在此問題,因此斷開連接。
我們實現並超越['onReceivedError(...)'(https://github.com/OfficeDev/msa-auth-for-android/blob/master/src/main/java/com /microsoft/services/msa/AuthorizationRequest.java#L136),但我希望與此警告無關。 –