pomoc przy wdrażaniu aplikacji w Google play

Witam programistów. Mam problem w wdrażaniu aplikacji https://play.google.com/. Wrzuciłem swoją aplikacje i gdy zaczęli testować wyskoczyło mi parę błędów jeden z nich to ten:

 Naprawianie luki w zabezpieczeniach przemierzania ścieżki zip
Te informacje są przeznaczone dla programistów, których aplikacje zawierają niebezpieczne wzorce rozpakowywania, które mogą potencjalnie prowadzić do ataku typu Zip Path Traversal. Lokalizacje klas aplikacji z lukami, które zawierają niebezpieczne wzorce rozpakowywania, można znaleźć w powiadomieniu Konsoli Play dotyczącym Twojej aplikacji.

Dodatkowe Szczegóły

Pliki ZIP mogą zawierać wpis (plik lub katalog) ze znakami przejścia ścieżki („../”) w nazwie. Jeśli programiści rozpakują takie wpisy w plikach zip bez sprawdzania ich nazwy, może to potencjalnie spowodować atak polegający na przejściu ścieżki, prowadzący do zapisów w dowolnych katalogach, a nawet nadpisania plików w prywatnych folderach aplikacji.

Zalecamy naprawienie tego problemu w aplikacji przez sprawdzenie, czy ścieżki kanoniczne do rozpakowanych plików znajdują się pod oczekiwanym katalogiem. W szczególności, przed użyciem pliku obiektu utworzonego przy użyciu wartości zwracanej ZipEntry „s getName () metody, należy sprawdzić, czy wartość zwracana File.GetCanonicalPath () należy do zamierzonego toru katalogów. Na przykład:

InputStream is = new InputStream(untrustedFileName);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(is));
while((ZipEntry ze = zis.getNextEntry()) != null) {
  File f = new File(DIR, ze.getName());
  String canonicalPath = f.getCanonicalPath();
  if (!canonicalPath.startsWith(DIR)) {
    // SecurityException
  }
  // Finish unzipping…
}
 

Następne kroki

Zaktualizuj swoją aplikację, wykonując opisane powyżej czynności.
Zaloguj się do Konsoli Play i prześlij zaktualizowaną wersję swojej aplikacji.

Twoja aplikacja zostanie ponownie sprawdzona; jeśli aplikacja nie została poprawnie zaktualizowana, nadal będzie wyświetlane ostrzeżenie. Ten proces może zająć kilka godzin. 

Jesteśmy tutaj, aby pomóc

Jeśli masz pytania techniczne dotyczące tej luki, możesz opublikować je w witrynie Stack Overflow i użyć tagu „android-security”.

Nie wiem co teraz mam zrobić i gdzie ten link dodac i jak to zrobić . Zielony jestem. Może mi ktoś w tym pomoc ?

Nie wiem co teraz mam zrobić i gdzie ten link dodac i jak to zrobić . Zielony jestem. Może mi ktoś w tym pomoc ?

Masz naprawić błąd. Czego dokładnie nie rozumiesz? Rozpakowywanie ZIPów to jest niebezpieczna sprawa z 2 powodów:

1. ZIP wypakowuje korzystając z wewnętrznych ścieżek, więc jak ktoś ma w ZIPie wpis ../etc/passwdto mógłby nadpisać prawdziwe/etc/passwd` w systemie podczas wypakowywania
2. ZIP może też zawierać symlinki więc np. symlink do /etc/passwd sprawiłby że w miejscu gdzie się wypakowało byłby link do tego pliku i może np. aplikacja miałaby możliwość ten plik odczytać, mimo że nie powinna.

Trudno cokolwiek doradzić nie widząc twojego kodu, ale najlepiej w ogóle nie rozpakowuj ZIPów skoro nie wiesz z czym sie to wiąże.

Wiem ze muszę naprawić tylko nie mam zielonego pojęcia gdzie mam ten kod wpisać i jak. Zrobiłem aplikacje w kreatorze. Używałem wcześniej android studio. Zrozumcie, że nie mam pojecia jak to zrobić.
Pozdrawiam

Heja Andrzeju. Mam bardzo podobny problem do Twojego. Też staram się wrzucać apkę na Google Play. Też jest zrobiona w kreatorze (MIT App Inventor). Jest to stosunkowo prosta apka, mimo to Google Play raportuje o pewnych problemach. Od około 3 dni, Google Play oznacza moją apkę jako "W trakcie sprawdzania", ale nie mam możliwości pobrania jej do testów. Na tym forum: https://community.appinventor.mit.edu/t/google-play-error-with-cleartext-traffic/17937/19 ludzie zgłaszali podobne symptomy, jednakże po około 3 dniach Google zatwierdzało aplikację i udostępniało ją (do testów lub w sklepie) pomimo wcześniej zgłaszanych problemów. Może trzeba po prostu poczekać? Tylko ile? :)