Предупреждение Google Play: ваше приложение может передавать учетные данные разработчика

Пожалуйста, объясните мне, что это такое?

Я получил сообщение от GP, с этим текстом:

Здравствуйте, разработчик Google Play!

Мы обнаружили, что ваши приложения, перечисленные в конце этого письма, потенциально могут привести к утечке учетных данных, используемых для выполнения сетевых запросов (HTTP и FTP).

Пожалуйста, проверьте случаи, когда вы используете базовую аутентификацию доступа с кодировкой URL, например такой URL, как https://username:[email protected]/. Мы рекомендуем вам немедленно изменить учетные данные и перепроектировать приложение, чтобы не включать их.

Следующие шаги

Sign in to your Developer Console and submit the updated version of your app.
Check back after five hours - we’ll show a warning message if the app hasn’t been updated correctly.

Открытые учетные данные разработчика могут позволить злоумышленнику скомпрометировать ваши системы, что подвергает риску пользовательские данные. По другим техническим вопросам об уязвимости вы можете опубликовать сообщение в Stack Overflow с тегом «android-security».

Мы здесь, чтобы помочь

Если вы считаете, что мы отправили это предупреждение по ошибке, вы можете связаться с нашей службой поддержки разработчиков.

С уважением,

Команда Google Play

Я не понимаю, в чем проблема с моим приложением, пожалуйста, помогите мне. Что я должен изменить в своем приложении?


android google-play android-security
person Pasha Oleynik    schedule 16.06.2016    source источник
comment
Как вы отправляете логин и пароль?   -  person Rohit5k2    schedule 16.06.2016
comment
Как объясняется в сообщении, проверьте исходящие подключения вашего приложения и убедитесь, что вы не отправляете пароли в URL-адресе, например имя пользователя:пароль@www.example.com.   -  person rupps    schedule 16.06.2016
comment
В дополнение к комментарию @rupps - если вы должны это сделать, убедитесь, что вы используете зашифрованную передачу SSL.   -  person Marcin Orlowski    schedule 16.06.2016
comment
Отправка чего? Я не отправляю никаких пользовательских данных в своем приложении, кроме данных для входа в игровой сервис Google Play для пользователей. Вы говорите об этом?   -  person Pasha Oleynik    schedule 16.06.2016
comment
Я поговорил с несколькими людьми, которые получили это письмо. Никто не использует учетные данные пользователя в своих приложениях. Возможно, ошибка Google или что-то связанное с некоторыми рекламными sdks.   -  person Marian Klühspies    schedule 16.06.2016
comment
Никакими операциями с интернетом не пользуюсь, кроме GPGS. Но я использую для этого инструкции из Google docs. Что я могу сделать для решения этой проблемы? Или ГП просто рекомендует проверить мое приложение для профилактики? И это не нарушение с моей стороны?   -  person Pasha Oleynik    schedule 16.06.2016
comment
@rupps Нет. Ты ошибаешься. Во-первых, вы, кажется, не совсем понимаете, как многоуровневая сеть (проверьте, например, что такое TCP, IP и где в ней HTTP). Вкратце: сначала устанавливается SSL-соединение (см. подтверждение SSL). Затем все данные, в т.ч. HTTP-запросы передаются в зашифрованном виде. Ни один маршрутизатор не увидит детали запроса (и не нуждается в маршрутизации).   -  person Marcin Orlowski    schedule 16.06.2016

Ответы (4)


arrow_upward
1
arrow_downward

Энди, Пабло и другие замечательные люди, посетившие эту тему.

Недавно проблема решилась.

Все, что вам нужно сделать — просто обновить Appodeal SDK до последней версии (версия 1.14.15).

Вы можете найти его в наших документах.

Также вы можете скачать Android SDK здесь (собственный Андроид).

С уважением, Эндрю

Служба поддержки Appodeal.

person Andrew Tinekov    schedule 17.06.2016

arrow_upward
4
arrow_downward

Я включил библиотеку Appodeal в свое бесплатное и премиум-приложение. Я получил это предупреждение недавно, я удалил Appodeal и больше не вижу предупреждения в Google Play. Несмотря на то, что я не использовал рекламу в Premium, я включил библиотеку Appodeal в двоичный файл, поскольку они представляют собой разные варианты одного и того же проекта Android Studio. Похоже на их проблемы. Я удалил Appodeal из своего бесплатного приложения пару дней назад по другой причине (https://medium.com/@greenrobotllc/response-to-1-star-review-problem-ads-auto-opening-app-store-on-lolcats-android-f1c7b7991caa#.milc5rcvs). Примерно через день после бесплатного обновления Google я получил именно это электронное письмо о премиальной версии, которую я не обновлял.

Поэтому проверьте свои сторонние библиотеки.

person Andy    schedule 17.06.2016
comment
Да, я тоже использую Appodeal. Я обновлю их SDK. И проблема уйдет, я думаю. - person Pasha Oleynik; 17.06.2016

arrow_upward
1
arrow_downward

Я могу подтвердить, что если вы используете Appodeal SDK, вы получите это предупреждение как разработчик. Я связался со службой поддержки Appodeal, и вот их ответ:

Иван Прокопенко: Привет, Пабло! мы нашли проблему. Была проблема с сетью, мы связались с поддержкой сети. Мы обновим SDK в будущем, это решит проблему. но не волнуйтесь, это не критично

person Pablo A. Martínez    schedule 17.06.2016

arrow_upward
1
arrow_downward

mytarget SDK имеет ту же проблему, что и Appodeal SDK. Мы также связались со службой поддержки mytarget, и вот их ответ:

Здравствуйте, Ян. Спасибо, что связались.

Никакие учетные данные и какие-либо личные данные не использовались, поэтому с утечкой каких-либо данных с помощью нашего SDK проблем не возникло. Но чтобы Google Play не отображал предупреждение, вчера мы обновили наш SDK — последняя версия — 4.5.1. Вот журнал изменений — «Изменен формат внутренней константы, из-за чего Google Play мог выводить предупреждение».

Поэтому для вашего следующего обновления вы можете обновить наш SDK. Вы можете скачать последнюю версию здесь - https://bintray.com/mytarget/maven/mytarget-sdk/view#files/com/my/target/mytarget-sdk

Пожалуйста, дай мне знать, если возникнут какие-либо вопросы.

Поэтому проверьте свои сторонние библиотеки.

person Tao Tang    schedule 17.06.2016