1. Accueil
  2. Question et réponse
  3. Alerte de sécurité: Votre application contient des clés privées intégrées ou des fichiers keystore

Alerte de sécurité: Votre application contient des clés privées intégrées ou des fichiers keystore

2015-11-23 1 views
2

J'ai récemment reçu un mail de Google:Alerte de sécurité: Votre application contient des clés privées intégrées ou des fichiers keystore

** Alerte de sécurité: Votre application contient des clés privées intégrées ou les fichiers keystore

Cette application contient une ou plus de clés privées ou de fichiers keystore incorporés dans son apk publié comme indiqué à la fin de ce message. Ces éléments intégrés peuvent être consultés par des tiers, ce qui peut soulever différentes préoccupations de sécurité en fonction de l'utilisation de la clé. Par exemple, si la clé privée est la clé de signature de votre application, une tierce partie peut signer et distribuer des applications qui remplacent vos applications authentiques ou les corrompent. Une telle partie pourrait également signer et distribuer des applications sous votre identité. Par mesure de sécurité générale, nous déconseillons vivement d'intégrer des clés privées et des fichiers de clés dans les applications, même si les clés sont protégées par un mot de passe ou obscurcies. Le moyen le plus efficace de protéger vos fichiers de clés privées et de fichiers de clés n'est pas de les faire circuler. Veuillez supprimer vos clés privées et fichiers keystore de votre application dès que possible. Pour plus d'informations sur la sécurisation de vos clés, veuillez consulter le https://developer.android.com/tools/publishing/app-signing.html.

En tant que développeur, vous avez la responsabilité de sécuriser votre clé privée en tout temps. Veuillez noter que les applications présentant des vulnérabilités exposant les utilisateurs à des risques de compromission peuvent être considérées comme des «produits dangereux» et susceptibles d'être supprimées de Google Play.

org/bouncycastle/OpenSSL/test/data/rsa/openssl_rsa_unencrypted.pem **

J'ai vérifié mon APK, je ne l'ai pas enregistré une keystore ou mot de passe dans l'application. Comme je n'ai pas de fichier .pem dans l'application.

Dans mon application, j'utilise le Crashlytics, droidText.Jar. Donc, n'importe qui pourrait s'il vous plaît comment résoudre cette erreur.

Source

2015-11-23 Android_dev

Répondre

3

L'avertissement est déclenchée par le fichier .pem dans le répertoire BouncyCastle - fichiers .pem sont généralement les exportations de clés privées, et sont effectivement un keystore (habituellement juste contenant une clé privée, mais encore une forme de keystore), d'où l'avertissement de Google à propos de private keys or keystore files.

La substance BouncyCastle est probablement entraînée en tant que dépendance par quelque chose d'autre que vous utilisez.

Dans tous les cas où j'ai rencontré cela, ce sont des données de test qui peuvent être supprimées en toute sécurité.

Vous devrez le rechercher dans votre fichier APK et le supprimer. Il devrait être assez sûr pour supprimer l'intégralité du chemin /test/data.

Source

2015-11-23 09:39:32

+0

selon le lien suivant http://stackoverflow.com/questions/26869607/droidtext-security-alert-for-pem-files-from-google J'ai vérifié le fichier droidText.jar juste maintenant. Il a les classes PEMWriter et PEMReader. Alors, comment supprimer ces fichiers du pot et comment réemballer le pot. Pourriez-vous s'il vous plaît me fournir les commandes pour cela. J'utilise mac –

+0

J'ai le problème ce chemin '/ test/data' a des fichiers .pem. Donc, j'ai supprimé l'ensemble du dossier de test comme vous l'avez dit. Voyons voir, ils vont google approuver le nouveau fichier APK ou non. Merci pour votre soutien. –

+0

J'ai également reçu la même erreur S'il vous plaît Faites le moi savoir. Comment résoudre cette erreur? –

 Questions connexes

  • Aucun problème connexe^_^