警告内容:
安全提醒
您的应用中 WebViewClient.onReceivedSslError 处理程序的实施方式很不安全。具体来说,这种实施方式会忽略所有 SSL 证书验证错误,从而使您的应用容易受到中间人攻击。攻击者可能会更改受影响的 WebView 内容、读取传输的数据(例如登录凭据),以及执行应用中使用 JavaScript 的代码。
为了正确处理 SSL 证书验证,请将您的代码更改为在服务器提供的证书符合您的预期时调用 SslErrorHandler.proceed(),否则应调用SslErrorHandler.cancel()。系统已向您的开发者帐号地址发送了一封电子邮件提醒,其中列出了受影响的应用和类。
请尽快解决此漏洞并增加升级版 APK 的版本号。如需详细了解 SSL 错误处理程序,请访问开发者帮助中心以参阅相关文档。如果您有其他技术问题,请在 https://www.stackoverflow.com/questions 上发帖咨询,并使用“android-security”和“SslErrorHandler”标签。如果是您使用的第三方库导致的安全漏洞,请通知该第三方,并与其合作解决此问题。
要确认您的应用是否已正确升级,请将更新后的版本上传至 Developer Console,并在 5 小时后再回来查看。如果应用并未正确升级,系统将会显示警告。
请注意,尽管这些问题可能不会影响每个使用 WebView SSL 的应用,但您最好安装所有最新的安全补丁。如果应用包含会让用户面临入侵风险的安全漏洞,那么我们可能会将其视为危险产品(因其违反了内容政策和《开发者分发协议》第 4.4 条的规定)。
请确保您发布的所有应用都符合开发者分发协议和内容政策。如果您有任何问题或疑问,请通过 Google Play 开发者帮助中心与我们的支持团队联系。
com/facebook/internal/WebDialog$DialogWebViewClient.class:Binary file (standard input) matches
com/alipay/sdk/app/H5PayActivity$MyWebViewClient.class:Binary file (standard input) matches
com/alipay/sdk/auth/AuthActivity$7.class:Binary file (standard input) matches
cn/sharesdk/framework/d$1.class:Binary file (standard input) matches
cn/sharesdk/framework/d$2.class:Binary file (standard input) matches
cn/sharesdk/framework/d.class:Binary file (standard input) matches
find . -name '*.jar' -exec zipgrep -i onreceivedsslerror {} \;
检查所有libs时发现,是uemng分享sdk中的问题。
com/umeng/socialize/view/q.class:Binary file (standard input) matches
com/umeng/socialize/view/j.class:Binary file (standard input) matches
修复建议:
不要重载onReceivedSslError函数 ,如果需要重载onReceivedSslError函数,那么 不要调用SslErrorHandler#proceed() 函数忽略错误