几天前,在Google Play控制台的“APK预发布报告”中,它开始向我发出警告。
Translated text:几天前,在Google Play控制台的“APK预发布报告”中,它开始向我发出警告。
Unsafe encryption
Detected in APK ???
Your app contains unsafe cryptographic encryption patterns. Please see this Google Help Centre article for details.
Vulnerable classes:
c.j.a.s.J.b
然而,自从APK早期以来,我没有改变加密代码/描述代码。因此,我不确定为什么Google开始警告我最近的APK?
有什么解决方法吗?因为对于易受攻击的类c.j.a.s.J.b的信息并不有用。
我尝试使用Proguard + mapping.txt来回溯c.j.a.s.J.b,但无法确定那是哪个类。
你有什么办法可以摆脱Google安全警告吗?
谷歌应用商店建议使用带有函数名称的弱点类,这可以在对话框中查看。
检查您的应用程序是否具有静态计算的密钥、初始化向量和/或盐,这些值用于加密操作,并确保这些值的构造方式安全。
例如:
public byte[] encryptionUtil(String key, String iv, byte[] plainText) {
Cipher cipher = Cipher.getInstance(“AES/GCM/NoPadding”);
SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), “AES”);
GCMParameterSpec paramSpec = new GCMParameterSpec(256, iv.getBytes());
cipher.init(Cipher.ENCRYPT_MODE, keySpec, paramSpec);
return cipher.doFinal(plainText);
}
你正在调用一个函数:
byte[] cipherText = encryptionUtil(“abcdef...”, “010203040506”, plainText);
这里提供的加密密钥“abcdef...”是一个静态字符串。静态计算值是每次执行应用程序时相同的值。静态计算的加密值可以从您的应用程序中提取并用于攻击您的应用程序的加密数据。
因此,您可以使用EncryptedSharedPreferences来本地存储数据。
参考链接https://developer.android.com/reference/androidx/security/crypto/EncryptedSharedPreferences
或者
更多细节请参见:修复不安全的加密
我认为你正在使用一些带有静态存储密钥的加密/解密代码。 静态计算值是每次执行应用程序时都相同的值。静态计算的加密值可以从您的应用程序中提取并用于攻击您的应用程序的加密数据。 因此,Google建议更改存储密钥为动态生成的密钥。 为此,您可以在每次启动时生成不同的密钥。 要解决这个问题,请在每次启动时生成动态加密/解密密钥。 您可以在这里找到更多信息 https://developer.android.com/jetpack/androidx/releases/security
com.java.android.sample.Java...? - Boris