我最近收到一封来自 Google 的邮件:
**安全警报:您的应用包含嵌入的私钥或 keystore 文件
此应用程序包含一个或多个嵌入其发布的 apk 中的私钥或 keystore 文件,如本消息末尾所列。这些嵌入的项目可以被第三方访问,这可能会引发各种不同的安全问题,具体取决于 key 的用途。例如,如果私钥是您的应用程序的签名 key ,则第三方可能会签名并分发替换您的正版应用程序或损坏它们的应用程序。这样的一方还可以以您的身份签署和分发应用程序。
作为一般安全实践,我们强烈建议不要在应用中嵌入私钥和 keystore 文件,即使 key 受到密码保护或混淆。保护您的私钥和 keystore 文件的最有效方法是不要传播它们。 请尽早从您的应用程序中删除您的私钥和 keystore 文件。有关确保 key 安全的更多信息,请参阅 https://developer.android.com/tools/publishing/app-signing.html .
作为开发人员,您有责任始终妥善保护您的私钥。请注意,存在漏洞、使用户面临被入侵风险的应用程序可能会被视为“危险产品”,可能会从 Google Play 中删除。
org/bouncycaSTLe/openssl/test/data/rsa/openssl_rsa_unencrypted.pem**
我已检查我的 APK,我的应用中没有保存任何 keystore 或密码。因为我的应用程序中没有任何 .pem 文件。
在我的应用程序中,我使用 Crashlytics、droidText.Jar。因此,任何人都可以请教如何解决此错误。
最佳答案
该警告是由 BouncyCaSTLe 目录下的 .pem 文件触发的 - .pem 文件通常是私钥的导出,并且实际上是一个 keystore (通常只是包含一个私钥,但仍然是 keystore 的一种形式),因此 Google 对私钥或 keystore 文件发出警告。
BouncyCaSTLe 的东西很可能被您正在使用的其他东西拖入作为依赖项。
在我遇到这种情况的所有情况下,都是可以安全删除的测试数据。
您需要在 APK 中找到它并删除它 - 应该足够安全,可以删除整个 /test/data 路径。
关于android - 安全警报: Your app contains embedded private keys or keystore files,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33867497/