Google Play 警告：SSL 错误处理程序漏洞对 WebViewClient.onReceivedSslErrorHandler SSL 有误报

Question

我是刚刚收到notice 的共享library project 的投稿人，我们的一位客户收到了来自 Google Play 商店的此警告，

您好 Google Play 开发者，7 月，提交的应用程序列于 由于执行不安全，此电子邮件的结尾被拒绝 WebViewClient.onReceivedSslErrorHandler。这个实现 忽略所有 SSL 证书验证错误，使您的应用程序 容易受到中间人攻击。攻击者可以改变 影响 WebView 的内容，读取传输的数据（如登录 凭据），并使用 JavaScript 在应用内执行代码。

在查看扩展 WebViewClient 的 AuthorizationWebViewClient 时，我们没有实现 onReceivedSslErrorHandler，这意味着我们属于默认实现，该库是明确的。

如果这是误报或者必须对此库进行更改，我们能否得到确认？

更新： 这是由于存在此漏洞时使用的 SDK 版本较旧，当前代码库没有此问题，因此断开连接。

Answer 1

我不确定有问题的具体应用是什么，但有些应用的 com.microsoft.services.msa.AuthorizationRequest$OAuthDialog$AuthorizationWebViewClient 存在漏洞。

例如，反汇编一个应用程序的代码表明它确实有一个 onReceivedSslErrorHandler 实现。

.method public onReceivedSslError(Landroid/webkit/WebView;Landroid/webkit/SslErrorHandler;Landroid/net/http/SslError;)V
    .registers 4
    .param p1, "view"    # Landroid/webkit/WebView;
    .param p2, "handler"    # Landroid/webkit/SslErrorHandler;
    .param p3, "error"    # Landroid/net/http/SslError;

    .prologue
    .line 143
    invoke-virtual {p2}, Landroid/webkit/SslErrorHandler;->proceed()V

    .line 144
    return-void
.end method