Thông báo bảo mật: App chứa khóa riêng nhúng hoặc tệp kho

Question

Gần đây có một mail từ Google:

Đây là thông báo rằng ứng dụng của bạn (s) com.myapp, chứa một hoặc phím riêng tư hơn hoặc keystore các tệp được nhúng trong gói ứng dụng đã xuất bản của nó là được liệt kê ở cuối email này. Các mục nhúng này có thể được truy cập bởi các bên thứ ba , có thể tăng nhiều mối quan tâm khác nhau về an ninh tùy thuộc vào khóa được sử dụng. Ví dụ: nếu khóa cá nhân là khóa ký cho ứng dụng của bạn, bên thứ ba có thể ký và phân phối các ứng dụng thay thế ứng dụng xác thực của bạn hoặc làm hỏng chúng. Bên như vậy cũng có thể ký và phân phối các ứng dụng theo số danh tính của bạn.

Là phương pháp bảo mật chung, chúng tôi khuyên bạn nên chống lại nhúng tệp khóa và khóa cá nhân trong ứng dụng, ngay cả khi các phím được bảo vệ bằng mật khẩu hoặc bị làm mờ. Cách hiệu quả nhất để bảo vệ tệp khóa và khóa cá nhân của bạn không lưu hành chúng.

Vui lòng xóa các tệp khóa và khóa cá nhân của bạn khỏi ứng dụng tại số thuận tiện sớm nhất của bạn. Mỗi ứng dụng khác nhau, nhưng nếu bạn không phải là đảm bảo cách định vị các khóa và tệp kho khóa trong ứng dụng của mình, bạn có thể thử tìm kiếm tệp có đuôi tệp "keystore" và grepping cho "PRIVATE KEY". Để biết thêm thông tin về cách giữ khóa của bạn an toàn, hãy vui lòng xem https://developer.android.com/tools/publishing/app-signing.html.

Bạn có trách nhiệm với tư cách là nhà phát triển để bảo mật khóa riêng của mình đúng cách, mọi lúc. Xin lưu ý rằng mặc dù các vấn đề cụ thể này ảnh hưởng đến ứng dụng của bạn, nhưng các ứng dụng có lỗ hổng khiến người dùng có nguy cơ bị xâm phạm có thể là được coi là “sản phẩm nguy hiểm” và bị xóa khỏi Google Phát.

Để kiểm tra xem các phiên bản tiếp theo của ứng dụng có chứa khóa riêng hay không, vui lòng xem phần Cảnh báo của Google Play Developer Console tại https://play.google.com/apps/publish/#AlertsPlace.

ứng dụng bị ảnh hưởng và các mẫu vật được nhúng: repack/org/BouncyCastle/openssl/test/data/dsa/openssl_dsa_aes128_cbc.pem repack/org/BouncyCastle/openssl/test/data/dsa/openssl_dsa_aes128_cfb.pem repack /org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_ecb.pem repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_ofb.pem repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes192_cbc .pem

Tôi đang sử dụng thư viện (tệp jar) chứa tệp .pem ở trên. Những tệp này có từ khóa 'PRIVATE KEY'. Tôi không tiết lộ khóa cá nhân hoặc kho khóa riêng của mình ở bất kỳ đâu trong gói APK. Tôi có thể làm gì để giải quyết vấn đề này? Tôi có thay đổi gì đối với tệp JAR hoặc APK ứng dụng của mình? Xin vui lòng giúp đỡ.

Answer 1

. Tôi nhận được tin nhắn rất giống nhau từ Google hiện nay về vấn đề này. Khi điều tra, tôi tìm thấy các tập tin tương tự mà bạn đã liệt kê trong một trong các lọ của tôi. Tôi đã giải quyết vấn đề này bằng cách xóa toàn bộ thư mục openssl từ jar bằng lệnh console sau đây.

zip --delete AFFECTEDJAR.jar "repack/org/bouncycastle/openssl/*" 

Tôi khuyên bạn nên kiểm tra không có phân loại java trong thư mục đó trước khi bạn chạy. Trong trường hợp của tôi không có gì ngoài dữ liệu thử nghiệm.

Hy vọng điều này sẽ hữu ích.

Answer 2

Rất có thể bạn không cần các tệp này trong ứng dụng. Chỉ cần xóa chúng khỏi quá trình xuất khi bạn phát hành ứng dụng. Tôi giả định rằng đây là những bên trong dự án trực tiếp cho dễ dàng đi qua các ứng dụng và giữ chúng gần dự án.

Nếu đây là trường hợp, chỉ cần di chuyển keystores ngoài gói và tham khảo chúng từ một riêng biệt trực tiếp khi cần thiết để họ không được đóng gói trong

Answer 3

hướng dẫn từng bước về cách thoát khỏi điều này msg- http://pctechnique.com/index.php/android-apps/2-uncategorised/31-security-alert-for-pem-file-and-keystore-in-your-apk