如何修复Google Play警告: SSL错误处理程序漏洞

Question

我最近在google play上发布了一个产品发布版的应用程序，我收到了一封来自Google的电子邮件：

​

​

我按照Google Support的建议更新代码：

class SslErrorHelper {

companion object {
    private val DIGITS_LOWER = charArrayOf('0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f')
    fun onSslError(context: Context, sslErrorHandler: SslErrorHandler, error: SslError) {
        // https://support.google.com/faqs/answer/7071387
        LogUtil.log("onSslError --> ${error.primaryError}")
        if (checkCertificate(error.certificate)) {
            sslErrorHandler.proceed()
        } else {
            ToastUtils.getInstance().showToast(context.getString(R.string.ssl_certificate_error))
            sslErrorHandler.cancel()
        }
    }

    /**
     * check the certificate
     */
    private fun checkCertificate(cert: SslCertificate): Boolean {
        val myCertSHA256Str = "SHA256 fingerprint of my server https certificate "
        val bundle = SslCertificate.saveState(cert)
        val bytes = bundle.getByteArray("x509-certificate")
        if (bytes != null) {
            try {
                val factory = CertificateFactory.getInstance("X.509")
                val ca = factory.generateCertificate(ByteArrayInputStream(bytes))
                val sha256 = MessageDigest.getInstance("SHA-256")
                val key = sha256.digest((ca as X509Certificate).encoded)
                val errorCertSHA256 = String(encodeHex(key))
                if (errorCertSHA256 == myCertSHA256Str) {
                    return true
                }

            } catch (e: Exception) {
                e.printStackTrace()
            }
        }
        return false
    }

    private fun encodeHex(data: ByteArray): CharArray {
        return encodeHex(data, DIGITS_LOWER)
    }

    private fun encodeHex(data: ByteArray, toDigits: CharArray): CharArray {
        val l = data.size
        val out = CharArray(l shl 1)
        var i = 0
        var j = 0
        while (i < l) {
            out[j++] = toDigits[0xF0 and data[i].toInt() ushr 4]
            out[j++] = toDigits[0x0F and data[i].toInt()]
            i++
        }
        return out
    }
}

}

我在WebClient#onReceivedSslError中调用onSslError方法。

虽然我将我的应用程序重新发布到Google play，但它仍然报告了SSL错误处理程序的漏洞。我也尝试了这个答案android Google Play Warning: SSL Error Handler Vulnerability，不幸的是，它仍然不起作用！

之后，我尝试通过执行命令find . -name '*.jar' -exec zipgrep -i onreceivedsslerror {} \;来查找哪个类或库实现了onReceivedSslError，发现Facebook-login sdk和ShareSdk已经实现了它，所以我尝试将它们从我的项目中删除。

完成以上所有操作后，它仍会报告该漏洞。

现在我的点子快用完了。你是否有人知道如何解决这个漏洞，或者你可以在这里分享你的经验。

谢谢，祝你有愉快的一天！

Answer 1

我更改了包名，然后重新发布它。它在没有任何警告的情况下通过了。