应用程序不合规并被删除：安全漏洞：不安全的主机名验证

关键词：

【中文标题】应用程序不合规并被删除：安全漏洞：不安全的主机名验证【英文标题】：App not compliant and removed :Security Vulnerabilities : Insecure Hostname Verification 【发布时间】：2021-04-23 21:28:23 【问题描述】：

我的应用程序已被删除并显示以下消息

我们发现您的应用包含安全漏洞，这些漏洞可能会暴露用户信息或损坏用户的设备。这违反了设备和网络滥用政策。具体来说，您的应用容易受到不安全主机名验证的影响。要解决此问题，请按照此 Google 帮助中心文章中的步骤操作。

我正在使用 Google 的 Volley 库来建立连接。此消息指示我在 HostNameVerifier 中实施验证方法以遵守策略。但是，我没有使用 HostNameVerifier，也没有在源代码的任何地方找到它。

当进一步询问时，谷歌支持向我发送了以下信息

您的应用当前正在使用以下易受攻击的 HostnameVerifier 实现。 lg/a/a/a/a/l/e$a; lg/a/a/a/a/l/f$a;

我不明白他们指向的这些字符序列。

如果有人对解决此问题有任何帮助，我们将不胜感激。 谢谢

【问题讨论】：

【参考方案1】：

我们的应用目前正在使用以下易受攻击的 HostnameVerifier 实现。 lg/a/a/a/a/l/e$a; lg/a/a/a/a/l/f$a;

我不明白他们指向的这些字符序列。

L 表示它是一个类类型，g/a/a/a/a/l/e$a 是一个混淆的类名，其中$a 是一个内部类。查看您发布的build 输出中的mapping.txt 以解码回原始类名。

即使您的代码中没有HostnameVerifier，您使用的库中也可能存在HostnameVerifier 的错误实现。

【讨论】：

非常有帮助的回答谢谢。

合规安全大考核：移动应用安全策略全盘点

...过程中的规范性、安全性，敬畏安全问题，防范合规风险。据统计，每年至少新增150万种移动恶意软件，至少造成超过1600万件的移动恶意软件 查看详情

怎么解决我们的mac不小心感染了不安全的应用

...以很容易解决。我们可以从Mac上快速卸载和删除不安全的应用程序。就像小编一直给大家推荐的CleanMyMac这样的Mac卸载工具。在这款卸载软件中，有一个卸载程序工具，我们可以使用这个工具来删除恶意软件应用程序，它还可以... 查看详情

iOS：存储与应用程序一起删除的数据的安全方式

】iOS：存储与应用程序一起删除的数据的安全方式【英文标题】：iOS:Safewaytostoredatawhichgetsdeletedalongwithapp【发布时间】：2014-03-1810:19:39【问题描述】：我们需要存储各种数据（访问令牌、收据）。以字节为单位，这是相对较小的... 查看详情

office365安全和合规性管理平台为企业数据安全管理保驾护航

...今，一些法律和商业人士都面临很多挑战，他们需要确保合规，确保文件安全、轻松地共享给团队人员和客户，他们希望技术人员提供的技术解决方案能cover文档安全性和合规，同时在必要的情况下，能随时随地且快速地检索到... 查看详情

云时代重新定义主机安全：自动化安全闭环是核心

摘要：随着越来越多的企业和机构正在逐步上云，主机安全是企业上云首先需要考虑的问题。在当前安全事件频发，且企业还没有具备专业安全运营能力的现状下，只具备检测或防御等单一功能的传统主机安全产品已不再适应这... 查看详情

云时代重新定义主机安全：自动化安全闭环是核心

摘要：随着越来越多的企业和机构正在逐步上云，主机安全是企业上云首先需要考虑的问题。在当前安全事件频发，且企业还没有具备专业安全运营能力的现状下，只具备检测或防御等单一功能的传统主机安全产品已不再适应这... 查看详情

信息安全等级合规测评

合规，简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内，等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等，是典型的合规性要求。信息安全合规测评是国家强制要求... 查看详情

顶象推出应用隐私合规检测服务

...收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定来判断。《App违法违规收集使用个人信息行为认定方法》是由中国互联网信息办公室于2019年11月发布的，旨在规范移动... 查看详情

siem在pcidss和安全等级保护合规性中的作用

研究表明，数据泄露与不合规之间存在直接关联。这并不是说合规公司的数据永远不会遭到破坏，而是强调事件检测和响应的重要性。企业已经开始意识到数据泄露的破坏性后果-他们的财务和声誉受到威胁，因此许多人在过去... 查看详情

确保kubernetes安全合规的6个最佳实践

...方面，安全措施必须足够精准，才能满足严格的合规要求，并通过审计这一关。组织必须遵守的各种法规包括SOC2、PCIDSS、GPDR、HIPAA等等。与此同时，无论采用哪种安全流程，都要确保DevOps和开发人员的生产力... 查看详情

使用正确的主机名访问https，提示连接不安全

问题现象：用申请的域名访问提示证书错误（访问者电脑上不了外网）。解决办法：将颁发下来的交叉等证书内容复制追加到mail_test_cn.crt文件里面，最后配置在nginx里面。 查看详情

字节跳动开源隐私合规检测工具appshark

...。受限于代码的开发质量等原因，App中或多或少的会存在安全漏洞或因开发设计不谨慎引入的违规收集个人信息等合规风险，带着漏洞运行的App将严重威胁着网络及用户安全，合规问题则可能受到监管通报甚至存在下架处罚风险... 查看详情

链接：nfc：基于主机的卡模拟(代码片段)

...称为基于主机的卡片仿真的安全元件。这允许任何Android应用程序模拟卡并直接与NFC阅读器通话。本文档介绍了基于主机的卡仿真（HCE）在Android上的工作原理，以及如何开发使用此技术来模拟NFC卡的应用程序。一、拥... 查看详情

10.7 上的 ARC 迁移工具给出错误：删除未使用的“自动释放”消息是不安全的

...：2011-09-0708:45:40【问题描述】：我继承了在10.6上开发的应用程序，我想在10.7上迁移。我想遵守自动引用计数并开始了它。转换助手正在向我发送错误消息： 查看详情

k8s:开源安全平台kubescape实现pod的安全合规检查/镜像漏洞扫描(代码片段)

...高了安全问题的处理的复杂性分享一个开源的k8s集群安全合规检查/漏洞扫描工具kubescape博文内容涉及：kubescape简介介绍kubescape命令行工具安装，扫描运行的集群kubescape在集群下安装，通过kubescapeClound可视化查看扫描信息理解不... 查看详情

删除 C# 不安全指针

】删除C#不安全指针【英文标题】：DeletingC#UnsafePointers【发布时间】：2013-08-1222:30:01【问题描述】：我知道在C#中使用/unsafe标志，您可以使用指针。在C/C++中，要删除指针，您将分别使用free(pointer);和deletepointer;。但是，如何使用C... 查看详情

Android 中不安全的 HostnameVerifier - React Native

】Android中不安全的HostnameVerifier-ReactNative【英文标题】：InsecureHostnameVerifierinAndroid-ReactNative【发布时间】：2021-05-2001:53:37【问题描述】：如何修复GooglePlay商店中的以下错误（ReactNative）您的应用正在使用不安全的主机名验证器实... 查看详情

使用提供程序和快餐栏查找已停用小部件的祖先是不安全的

...1812:02:20【问题描述】：我正在使用DismissibleWidget从列表中删除注释。当注释被删除时，会调用一个Snackbar以让用户有机会撤消该操作。单击按钮后，将注释重新插入到列表中时， 查看详情