jybdfx
jybdfx
  • 发布:2017-08-31 09:52
  • 更新:2017-10-12 23:48
  • 阅读:3089

MUI本地打包,提交google play不通过

分类:MUI

下面是google的邮箱回复
This app uses software that contains security vulnerabilities for users or allows the collection of user data without proper disclosure.

Below is the list of issues and the corresponding APK versions that were detected in your recent submission. Please upgrade your app(s) as soon as possible and increment the version number of the upgraded APK.

Vulnerability APK Version(s) Deadline to fix
SSL Error Handler
For more information on how to address WebView SSL Error Handler alerts, please see this Google Help Center article.

2 11/30/2016
To confirm you’ve upgraded correctly, submit the updated version of your app to the Play Console and check back after five hours to make sure the warning is gone.

While these vulnerabilities may not affect every app that uses this software, it’s best to stay up to date on all security patches. Make sure to update any libraries in your app that have known security issues, even if you're not sure the issues are relevant to your app.

google给出的解决方法
https://support.google.com/faqs/answer/7071387
本文面向的是在应用中采用的 WebViewClient.onReceivedSslError 处理程序实施方式不安全的开发者。具体来说,这种实施方式会忽略所有 SSL 证书验证错误,使应用容易受到中间人攻击。攻击者可能会更改受影响的 WebView 内容、读取传输的数据(例如登录凭据),以及执行应用中使用 JavaScript 的代码。

从 2016 年 11 月 25 日起,Google Play 将禁止发布任何包含此类漏洞的新应用或应用更新。您已发布的 APK 版本不会受到影响,但是,在修复此漏洞前,您将无法为应用发布任何更新。

后续步骤

为了纠正此问题,请将您的应用代码更新为在服务器提供的证书符合您的预期时调用 SslErrorHandler.proceed(),否则调用 SslErrorHandler.cancel()。
如果是您使用的第三方库导致的安全漏洞,请通知该第三方,并与其合作解决此问题。

更改完成后,请登录 Developer Console 并提交应用的更新版本。

过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示相应的警告消息。请注意,即使您的应用已修复相应漏洞,处理过程也可能会有所延迟,这是很常见的情况。

2017-08-31 09:52 负责人:无 分享
已邀请:
x***@163.com

x***@163.com

这里的人都不知道谷歌是个啥东东

x***@163.com

x***@163.com

谷歌市场审查比较严格

x***@163.com

x***@163.com

如何处理应用中的 WebView SSL 错误处理程序提醒
本文面向的是在应用中采用的 WebViewClient.onReceivedSslError 处理程序实施方式不安全的开发者。具体来说,这种实施方式会忽略所有 SSL 证书验证错误,使应用容易受到中间人攻击。攻击者可能会更改受影响的 WebView 内容、读取传输的数据(例如登录凭据),以及执行应用中使用 JavaScript 的代码。

从 2016 年 11 月 25 日起,Google Play 将禁止发布任何包含此类漏洞的新应用或应用更新。您已发布的 APK 版本不会受到影响,但是,在修复此漏洞前,您将无法为应用发布任何更新。

后续步骤

为了纠正此问题,请将您的应用代码更新为在服务器提供的证书符合您的预期时调用 SslErrorHandler.proceed(),否则调用 SslErrorHandler.cancel()。
如果是您使用的第三方库导致的安全漏洞,请通知该第三方,并与其合作解决此问题。

更改完成后,请登录 Developer Console 并提交应用的更新版本。

过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示相应的警告消息。请注意,即使您的应用已修复相应漏洞,处理过程也可能会有所延迟,这是很常见的情况。

有关 SSL 错误处理程序的详情,请访问 Android 开发者帮助中心查看相关文档。如有其他技术问题,您可以在 https://www.stackoverflow.com/questions 上发帖咨询并使用“android-security”和“SslErrorHandler”标签。

尽管这些具体问题不一定会对使用 WebView SSL 的所有应用都造成影响,但我们仍建议您安装所有最新的安全补丁。如果应用包含会让用户面临入侵风险的安全漏洞,那么我们可能会将其视为危险产品(违反《内容政策》和《开发者分发协议》第 4.4 条的相关规定)。

此外,应用还必须遵循开发者分发协议和内容政策。如果您认为我们发送此警告的判断有误,请通过 Google Play 开发者帮助中心与我们的政策支持团队联系。

本文是否对您有帮助?
是否
©2017 Google 隐私政策 服务条款 中文(简体)‎

trackimo

trackimo

我也遇到了这个问题,怎么解决?

  • JerryH

    我查找后发现最终的问题是引入的第三方jar包的问题,我删掉后就能正常上架


    2017-10-13 15:50

  • 老向

    你是怎么处理的?我现在也碰到这个问题!


    2018-05-14 10:31

  • 老向

    回复 JerryH:你是引用了哪个第三方包引起的问题?


    2018-05-14 10:31

trackimo

trackimo

查找使用了onReceivedSslError的地方,一共有这些
$ find . -name '*.jar' -exec zipgrep -i onreceivedsslerror {} ;
com/alipay/sdk/app/b.class:Binary file (standard input) matches
com/alipay/sdk/auth/AuthActivity$b.class:Binary file (standard input) matches
com/xiaomi/account/openauth/AuthorizeActivityBase$AuthorizeWebViewClient.class:Binary file (standard input) matches
com/tencent/connect/auth/AuthDialog$LoginWebViewClient.class:Binary file (standard input) matches
io/dcloud/common/adapter/ui/WebLoadEvent$2.class:Binary file (standard input) matches
io/dcloud/common/adapter/ui/WebLoadEvent.class:Binary file (standard input) matches
io/dcloud/share/tencent/TencentWebviewClient.class:Binary file (standard input) matches
com/sina/weibo/sdk/web/client/BaseWebViewClient.class:Binary file (standard input) matches
com/sina/weibo/sdk/web/WebViewRequestCallback.class:Binary file (standard input) matches
com/sina/weibo/sdk/web/WeiboSdkWebActivity.class:Binary file (standard input) matches
android/webkit/WebViewClient.class:Binary file (standard input) matches

这些都是MUI的库,开发者没法修改

  • 前端_小白

    你的这个问题最后是怎么解决的


    2018-06-09 17:06

该问题目前已经被锁定, 无法添加新回复