应用程序不合规并被删除：安全漏洞：不安全的主机名验证

Posted 2023-04-15

【中文标题】应用程序不合规并被删除：安全漏洞：不安全的主机名验证

【英文标题】：App not compliant and removed :Security Vulnerabilities : Insecure Hostname Verification

【发布时间】：2021-04-23 21:28:23

【问题描述】：

我的应用程序已被删除并显示以下消息

我们发现您的应用包含安全漏洞，这些漏洞可能会暴露用户信息或损坏用户的设备。这违反了设备和网络滥用政策。具体来说，您的应用容易受到不安全主机名验证的影响。要解决此问题，请按照此 Google 帮助中心文章中的步骤操作。

我正在使用 Google 的 Volley 库来建立连接。此消息指示我在 HostNameVerifier 中实施验证方法以遵守策略。但是，我没有使用 HostNameVerifier，也没有在源代码的任何地方找到它。

当进一步询问时，谷歌支持向我发送了以下信息

您的应用当前正在使用以下易受攻击的 HostnameVerifier 实现。 lg/a/a/a/a/l/e$a; lg/a/a/a/a/l/f$a;

我不明白他们指向的这些字符序列。

如果有人对解决此问题有任何帮助，我们将不胜感激。 谢谢

【参考方案1】：

我们的应用目前正在使用以下易受攻击的 HostnameVerifier 实现。 lg/a/a/a/a/l/e$a; lg/a/a/a/a/l/f$a;

我不明白他们指向的这些字符序列。

L 表示它是一个类类型，g/a/a/a/a/l/e$a 是一个混淆的类名，其中$a 是一个内部类。查看您发布的build 输出中的mapping.txt 以解码回原始类名。

即使您的代码中没有HostnameVerifier，您使用的库中也可能存在HostnameVerifier 的错误实现。

【讨论】：

非常有帮助的回答谢谢。