Я участвую в совместном проекте библиотеки, который только что получил notice один из наших клиентов получил это предупреждение из магазина Google Play,
Уважаемый разработчик Google Play! В июле приложения, указанные в конце этого письма, были отклонены из-за небезопасной реализации WebViewClient.onReceivedSslErrorHandler. Эта реализация игнорирует все ошибки проверки сертификатов SSL, что делает ваше приложение уязвимым для атак типа «злоумышленник в середине». Злоумышленник может изменить содержимое затронутого WebView, прочитать переданные данные (например, учетные данные для входа) и выполнить код внутри приложения с помощью JavaScript.
При просмотре нашего AuthorizationWebViewClient, который расширяет WebViewClient, мы не реализуем onReceivedSslErrorHandler, что означает, что мы подпадаем под реализацию по умолчанию, оставляя эту библиотеку в открытом виде.
Можем ли мы получить подтверждение, если это ложное срабатывание или необходимо внести изменения в эту библиотеку?
ОБНОВЛЕНИЕ: это произошло из-за того, что используемая версия SDK была намного старше, когда эта уязвимость присутствовала, текущая кодовая база не имеет этой проблемы, следовательно, отключение.