Уязвимость безопасности Google Play перед запуском отчетов, которая говорит об этом
Конфигурация сетевой безопасности вашего приложения разрешает трафик открытым текстом для всех доменов. Это может позволить перехватчикам перехватывать данные, отправленные вашим приложением. Если эти данные являются конфиденциальными или могут быть идентифицированы пользователем, это может повлиять на конфиденциальность ваших пользователей.
Рассмотрите возможность разрешения только зашифрованного трафика, установив для флага cleartextTrafficPermitted значение false или добавив зашифрованную политику для определенных доменов. Узнать больше
network_security_config.xml
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">127.0.0.1</domain>
</domain-config>
</network-security-config>
AndroidManifest.xml
<application
android:name="com.example.MyActivity"
android:allowBackup="false"
tools:replace="allowBackup"
android:icon="@drawable/ic_launcher"
android:label="@string/app_name"
android:largeHeap="true"
android:theme="@style/AppTheme"
android:hardwareAccelerated="true"
android:resizeableActivity="false"
android:networkSecurityConfig="@xml/network_security_config">
Я сомневаюсь, что если я укажу свой собственный домен, имя домена config-cleartextTrafficPermitted = "true", например,
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">http://my-domain.com</domain>
</domain-config>
- Устраняет ли это мою уязвимость в системе безопасности?
- Мне нужно знать, нужно ли мне устанавливать настройки домена для моих сторонних объявлений
сети?