Android App 安全的HTTPS 通信

起因

前段时间,同事拿着一个代码安全扫描出来的 bug 过来咨询,我一看原来是个 https 通信时数字证书校验的漏洞,一想就明白了大概;其实这种问题早两年就有大规模的暴露,各大厂商App 也纷纷中招,想不到过了这么久天猫客户端里还留有这种坑;然后仔细研究了漏洞所在的代码片段,原来所属的是新浪微博分享 sdk 内部的,因为这个 sdk 是源码引用的,一直没有更新,年久失修,所以也就被扫描出来了。因此给出的解决方案是:

  1. 先获取最新的 sdk,看其内部是否已解决,已解决的话升级 sdk 版本即可;
  2. 第1步行不通,那就自己写校验逻辑,猫客全局通信基本已经使用 https 通信,参考着再[……]

MORE