应用程序不合规并已删除:安全漏洞:不安全的主机名验证

App not compliant and removed :Security Vulnerabilities : Insecure Hostname Verification

我的应用已被删除,并显示以下消息

我们发现您的应用存在安全漏洞,可能会泄露用户信息或损坏用户的设备。这违反了设备和网络滥用政策。具体来说,您的应用程序容易受到不安全主机名验证的影响。要解决此问题,请按照这篇 Google 帮助中心文章中的步骤操作。

我正在使用 Google 的 Volley 库来建立连接。此消息指示我在 HostNameVerifier 中实施验证方法以遵守策略。但是,我没有使用 HostNameVerifier,也没有在源代码中找到它。

当进一步询问时,google 支持向我发送了以下内容

您的应用目前正在使用以下易受攻击的 HostnameVerifier 实现。 Lg/a/a/a/a/l/e$一个; Lg/a/a/a/a/l/f$a;

我不明白它们指向的这些字符序列。

如果有人能帮助解决这个问题,我们将不胜感激。 谢谢

our app is currently using the following vulnerable implementation of HostnameVerifier. Lg/a/a/a/a/l/e$a; Lg/a/a/a/a/l/f$a;

I do not understand these character sequences that they are pointing to.

L 表示它是 class 类型,g/a/a/a/a/l/e$a 是混淆的 class 名称,其中 $a 是内部 class。查看 mapping.txt 中的 build 输出以解码回原始 class 名称。

即使您的代码中没有 HostnameVerifier,您使用的库也可能存在 HostnameVerifier.

的错误实现