本帖最后由 willchain 于 2017-10-27 08:30 编辑
在Wex5 3.6开发环境下,尝试学习开发了一个APP,进展还算顺利,在真机和测试机上调试都算是通过了。
因为业务需要,要将应用发布到谷歌官方市场,出现如下问题:
Hello Google Play Developer, We rejected 936, with package name cq.fu.main, for violating our Malicious Behavior or User Data policy. If you submitted an update, the previous version of your app is still available on Google Play. This app uses software that contains security vulnerabilities for users or allows the collection of user data without proper disclosure. Below is the list of issues and the corresponding APK versions that were detected in your recent submission. Please upgrade your app(s) as soon as possible and increment the version number of the upgraded APK. [td]Vulnerability | APK Version(s) | Deadline to fix | | 202022 | 05/17/2016 |
To confirm you’ve upgraded correctly, submit the updated version of your app to the Play Console and check back after five hours to make sure the warning is gone. While these vulnerabilities may not affect every app that uses this software, it’s best to stay up to date on all security patches. Make sure to update any libraries in your app that have known security issues, even if you're not sure the issues are relevant to your app.
根据链接的指引,找到关于这个问题详细叙述:
如何修复 TrustManager 实施方式不安全的应用本文面向的是发布的应用中 X509TrustManager 接口实施方式不安全的开发者。具体而言,该问题是指在与远程主机建立 HTTPS 连接时实施方式会忽略所有 SSL 证书验证错误,从而使您的应用容易受到中间人攻击。攻击者可能会读取传输的数据(例如登录凭据),甚至更改通过 HTTPS 连接传输的数据。要查看受影响应用的完整列表,请访问 开发者控制台。 为了正确处理 SSL 证书验证,请更改您的自定义 X509TrustManager 接口的 [url=http://developer.android.com/reference/javax/net/ssl/X509TrustManager.html#checkServerTrusted(java.security.cert.X509Certificate[],]checkServerTrusted[/url] 方法中的代码,指定在服务器提供的证书不符合您的预期时生成 CertificateException 或 IllegalArgumentException 错误。如有技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”和“TrustManager”标签)。 请尽快解决此问题并增加升级版 APK 的版本号。从 2016 年 5 月 17 日起,Google Play 将禁止发布 X509TrustManager 接口实施方式不安全的任何新应用或应用更新。 要确认您所做的更改是否正确,请将更新后的应用版本提交至 开发者控制台,并在 5 小时后回来查看。如果应用并未正确升级,系统将会显示警告。
关于此问题的更多了解,本人在以前使用安卓原生代码进行开发和应用上架时也遇到过此类问题,这个问题主要是谷歌市场近两年针对SSL的漏洞新增的强制检测,原来在版本的升级中,只需要重写相关HTTP请求类中SSL请求处理的catch部分并添加建议代码,打包后即可通过验证。而在使用WeX5开发时因为操作不了原生代码部分,既不知道这个原因是WeX5自带框架引起的相关问题,还是引用的第三方的Cordova插件引起的问题。 希望论坛中的达人,或者是起步科技的工作人员能够提供解决方案。或者是否在WeX5 3.7版本中,打包后的APK就不会有这个问题了?
|