Google官方应用市场上架，APK包因TrustManager的实施规范被拒

willchain

在Wex5 3.6开发环境下，尝试学习开发了一个APP，进展还算顺利，在真机和测试机上调试都算是通过了。
因为业务需要，要将应用发布到谷歌官方市场，出现如下问题：

Hello Google Play Developer,

We rejected 936, with package name cq.fu.main, for violating our Malicious Behavior or User Data policy. If you submitted an update, the previous version of your app is still available on Google Play.

This app uses software that contains security vulnerabilities for users or allows the collection of user data without proper disclosure.

Below is the list of issues and the corresponding APK versions that were detected in your recent submission. Please upgrade your app(s) as soon as possible and increment the version number of the upgraded APK.

[td]

Vulnerability	APK Version(s)	Deadline to fix
TrustManagerYou can find more information about TrustManager in this Google Help Center article.	202022	05/17/2016

To confirm you’ve upgraded correctly, submit the updated version of your app to the Play Console and check back after five hours to make sure the warning is gone.

While these vulnerabilities may not affect every app that uses this software, it’s best to stay up to date on all security patches. Make sure to update any libraries in your app that have known security issues, even if you're not sure the issues are relevant to your app.

根据链接的指引，找到关于这个问题详细叙述：

如何修复 TrustManager 实施方式不安全的应用

本文面向的是发布的应用中 X509TrustManager 接口实施方式不安全的开发者。具体而言，该问题是指在与远程主机建立 HTTPS 连接时实施方式会忽略所有 SSL 证书验证错误，从而使您的应用容易受到中间人攻击。攻击者可能会读取传输的数据（例如登录凭据），甚至更改通过 HTTPS 连接传输的数据。要查看受影响应用的完整列表，请访问开发者控制台。

为了正确处理 SSL 证书验证，请更改您的自定义 X509TrustManager 接口的 [url=http://developer.android.com/reference/javax/net/ssl/X509TrustManager.html#checkServerTrusted(java.security.cert.X509Certificate[],]checkServerTrusted[/url] 方法中的代码，指定在服务器提供的证书不符合您的预期时生成 CertificateException 或 IllegalArgumentException 错误。如有技术问题，您可以在 Stack Overflow 上发帖咨询（使用“android-security”和“TrustManager”标签）。

请尽快解决此问题并增加升级版 APK 的版本号。从 2016 年 5 月 17 日起，Google Play 将禁止发布 X509TrustManager 接口实施方式不安全的任何新应用或应用更新。

要确认您所做的更改是否正确，请将更新后的应用版本提交至开发者控制台，并在 5 小时后回来查看。如果应用并未正确升级，系统将会显示警告。

关于此问题的更多了解，本人在以前使用安卓原生代码进行开发和应用上架时也遇到过此类问题，这个问题主要是谷歌市场近两年针对SSL的漏洞新增的强制检测，原来在版本的升级中，只需要重写相关HTTP请求类中SSL请求处理的catch部分并添加建议代码，打包后即可通过验证。而在使用WeX5开发时因为操作不了原生代码部分，既不知道这个原因是WeX5自带框架引起的相关问题，还是引用的第三方的Cordova插件引起的问题。

希望论坛中的达人，或者是起步科技的工作人员能够提供解决方案。或者是否在WeX5 3.7版本中，打包后的APK就不会有这个问题了？

liangyongfei

你好楼主，这个问题需要我在本地环境进行问题重现，所以会花费较长时间，请你耐心等待，我完成后会第一时间反馈结果，谢谢！
2017102700005ｘ５打包的原生代码资源在这里
/Native/templates/advanced/platforms/android
你可以尝试自己修改！

ｈｔｔｐｓ　协议是服务器指定，应该就可以的！你的服务器是ｈｔｔｐｓ协议的吗？？如果不是建议服务器换成ｈｔｔｐｓ的安全协议，再打包试试

willchain

感谢你的回答，这个问题的协议应该不是和服务器是否使用https有关，只是和基础库，或者第三方插件中引用的相关http访问的基础类有关，因为http访问类都会有https的实现，基本上这种原因引起都是这部分引用的基础类版本太久没有修正SSL的问题引起的。所以我现在没有搞清楚是Wex5框架的问题，还是Cordova第三方插件引起的，google的拒绝通知中也没有具体说明，我看能不能用安全扫描工具获取更多信息吧。

willchain

liangyongfei 发表于 2017-10-27 17:33
你好楼主，这个问题需要我在本地环境进行问题重现，所以会花费较长时间，请你耐心等待，我完成后会第一时间 ...

用360APK安全漏洞扫描，找到了这4个导致被拒的相关安全缺陷的位置，是否能提供相关解决方案？

liangyongfei

willchain 发表于 2017-10-30 06:53
用360APK安全漏洞扫描，找到了这4个导致被拒的相关安全缺陷的位置，是否能提供相关解决方案？

好的，我们尽快看下原因

willchain

liangyongfei 发表于 2017-10-30 16:53
好的，我们尽快看下原因

我已经修改了相关原生代码资源，通过Gradle编译打包，通过了审查...

liangyongfei

willchain 发表于 2017-11-7 12:59
我已经修改了相关原生代码资源，通过Gradle编译打包，通过了审查...

请问修改了哪儿？？欢迎分享下方法？？我们再次确认修改没问题！