vor kurzem bekam eine Mail von Google:Sicherheitsalarm: App enthält eingebettete private Schlüssel oder Schlüsselspeicherdateien
Dies ist eine Benachrichtigung, dass Ihre Anwendung (en) com.myapp, enthält einen oder mehr privaten Schlüssel oder Schlüsselspeicher Dateien eingebettet in seiner veröffentlichten apk als am Ende dieser E-Mail aufgeführt. Auf diese eingebetteten Elemente kann von Dritten zugegriffen werden , die eine Vielzahl von verschiedenen Sicherheitsfragen betreffen kann, je nachdem, wofür der Schlüssel verwendet wird. Beispiel: Wenn der private Schlüssel der Signaturschlüssel für Ihre Anwendung ist, kann ein Drittanbieter Apps signieren und verteilen, die Ihre authentischen Apps ersetzen, oder diese beschädigen. Eine solche Partei könnte auch Apps unter Ihre Identität signieren und verteilen.
Als allgemeine Sicherheitspraxis empfehlen wir dringend, die privaten Schlüssel und Keystore-Dateien in die Apps einzubetten, auch wenn die Schlüssel passwortgeschützt oder verschleiert sind. Der effektivste Weg zu schützen Sie Ihre privaten Schlüssel und Keystore-Dateien ist nicht, sie zu zirkulieren.
Bitte entfernen Sie Ihre privaten Schlüssel und Keystore-Dateien aus Ihrer App unter so schnell wie möglich. Jede App ist anders, aber wenn Sie nicht sicher sind, wie Sie die Schlüssel und Keystore-Dateien in Ihrer App suchen, können Sie versuchen, nach Dateien mit der "Keystore" -Dateierweiterung und grepping für "PRIVATE KEY" suchen. Weitere Informationen zum sicheren Aufbewahren Ihres Schlüssels finden Sie unter unter https://developer.android.com/tools/publishing/app-signing.html.
Sie sind als Entwickler verpflichtet, Ihren privaten Schlüssel jederzeit ordnungsgemäß zu sichern. Bitte beachten Sie, dass, obwohl es unklar ist, ob diese spezifischen Probleme Ihre Anwendung betreffen, Anwendungen mit Sicherheitslücken, die Benutzer dem Risiko von Kompromittierung ausgesetzt sind, als "gefährliche Produkte" und entfernen von Google Play.
Um zu überprüfen, ob spätere Versionen Ihrer Apps private Schlüssel enthalten, Sie bitte den Abschnitt Warnungen der Google Play Developer Console an https://play.google.com/apps/publish/#AlertsPlace sehen.
Betroffene Anwendungen und Proben von Embedded-Produkte: repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_cbc.pem repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_cfb.pem repack /org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_ecb.pem repack/org/bouncycastle/Openssl/test/data/dsa/openssl_dsa_aes128_ofb.pem repack/org/bouncycastle/Openssl/test/data/dsa/openssl_dsa_aes192_cbc .pem
Ich verwende eine Bibliothek (JAR-Datei), die die obigen .pem-Dateien enthält. Diese Dateien haben das Schlüsselwort 'PRIVATE KEY'. Ich gebe meinen privaten Schlüssel oder Keystore nirgends im APK-Paket preis. Was kann ich tun, um dieses Problem zu beheben? Welche Änderung mache ich an der JAR-Datei oder meiner App APK? Bitte helfen.
ich das gleiche tat. Es enthielt .class-Dateien. Also ließ diese Dateien und löschte den Rest. Hoffentlich akzeptiert Google das. – varun
haben sie die Änderung akzeptiert? Ich habe das gleiche Problem –
@ ghostrider3 Yeah nach der Veröffentlichung eines Updates ohne diese Dateien die Warnung entlassen – drspaceboo