您正在使用X509TrustManager的不安全实现。

Question

我在Google Play上有一个应用程序，今天我收到一封来自Google的邮件，上面写着：

Google警告:您正在使用不安全的X509TrustManager实现

它提供了一些关于SSL证书问题的内容，以及解决这个问题的方法。

我问这个问题是因为好奇，

1. 这个警告到底是什么意思？
2. 我没有在我的应用程序中使用任何与网络相关的活动(这是一个本地数据库驱动的应用程序)，那么为什么我的应用程序会出现这种警告呢？

详细信息：

我的应用程序是用AppceleratorTit闭锁开发的，谷歌说这是在ti.modules.titanium.network.NonValidatingTrustManager;中实现的。我确信我从未在代码中使用过这样的类。

Answer 1

这个警告到底是什么意思？

您应该被链接到this page，这说明了它的全部内容。简而言之，谷歌正在扫描那些搞砸了SSL的人的应用程序，比如盲目地接受所有的证书。

我没有在我的应用程序中使用任何与网络相关的活动(这是一个本地数据库驱动的应用程序)，那么为什么我的应用程序会出现这种警告呢？

因为你的APK里有别的东西做了这件事。以this developer为例，它是一个图书馆。

我的应用程序是用AppceleratorTit闭锁构建的，谷歌说这个实现是在ti.modules.titanium.network.NonValidatingTrustManager;.中实现的。我确信我从未在代码中使用过这样的类。

你可能没有直接使用过它。然而，其他的东西正在使用它。或者，它可能存在，因为它只是整个钛框架的一部分，并留在你的APK中。

Answer 2

Appcelerator正在JIRA上跟踪这个问题：https://jira.appcelerator.org/browse/TIMOB-20431

我们还发布了一篇包含以下信息的博客文章：http://www.appcelerator.com/blog/2016/02/google-security-alert-unsafe-implementation-of-the-interface-x509trustmanager/

这封电子邮件谈到5月17日新提交的最后期限(!)应用程序和更新。我们会及时准备好修理和指示。

Answer 3

读这个：Clients

这一切都是关于谷歌推动每个人使用https。如果您要在应用程序中使用Titanium.Network.createHTTPClient对象，则必须用以下方法实现：

var certificateStore = require('ti.certificatestore').

这个模块可以在这里找到：https://github.com/appcelerator-modules/ti.certificatestore