Предупреждение системы безопасности: приложение содержит встроенные секретные ключи или файлы хранилища ключей. ⇐ Android

[Anonymous]

Недавно получил письмо от Google:


Это уведомление о том, что ваши приложения com.myapp содержат один или дополнительные секретные ключи или файлы хранилища ключей, встроенные в опубликованный APK-файл,
перечисленные в конце этого электронного письма. К этим встроенным элементам могут получить доступ
третьи лица, что может вызвать множество различных проблем безопасности
в зависимости от того, для чего используется ключ. Например, если
закрытый ключ является ключом подписи вашего приложения, третья сторона
может подписывать и распространять приложения, которые заменяют ваши подлинные приложения или
повреждают их. Такая сторона также может подписывать и распространять приложения под
вашей личностью.

В качестве общей практики обеспечения безопасности мы настоятельно рекомендуем не
встраивать закрытые ключи и файлы хранилища ключей в приложениях, даже если ключи
защищены паролем или скрыты. Самый эффективный способ
защитить ваш личный ключ и файлы хранилища ключей — не распространять их.

Удалите свои личные ключи и файлы хранилища ключей из своего приложения по адресу при первой же возможности. Каждое приложение отличается, но если вы не уверены,
как найти ключи и файлы хранилища ключей в вашем приложении, вы можете
попробовать поискать файлы с расширением «хранилище ключей» и выполнить поиск
для «ЧАСТНОГО КЛЮЧА». Дополнительную информацию о защите вашего ключа
см. на странице
https://developer.android.com/tools/pub ... gning.html.

Вы, как разработчик, несете ответственность за обеспечение надлежащей защиты вашего закрытого ключа
в любое время. Обратите внимание: хотя неясно, влияют ли эти
конкретные проблемы на ваше приложение, приложения с
уязвимостями, которые подвергают пользователей риску компрометации, могут
считаться «опасными продуктами» и подлежат удалению из Google Играть.

Чтобы проверить, содержат ли последующие версии ваших приложений закрытые ключи,
просмотрите раздел «Оповещения» консоли разработчика Google Play по адресу
https://play.google.com/apps/publish/#AlertsPlace.

Затронутые приложения и образцы встроенных элементов:
repack/org/ jumpycastle/openssl/test/data/dsa/openssl_dsa_aes128_cbc.pem
repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_cfb.pem
repack/org/bouncycastle/openssl/test/data/ dsa/openssl_dsa_aes128_ecb.pem
repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes128_ofb.pem
repack/org/bouncycastle/openssl/test/data/dsa/openssl_dsa_aes192_cbc.pem


Я использую библиотеку (файл jar), которая содержит указанные выше файлы .pem. Эти файлы имеют ключевое слово «ЧАСТНЫЙ КЛЮЧ». Я не раскрываю свой закрытый ключ или хранилище ключей в пакете APK.
Что я могу сделать, чтобы решить эту проблему? Какие изменения мне внести в файл JAR или APK приложения?
Пожалуйста, помогите.

Подробнее здесь: https://stackoverflow.com/questions/262 ... tore-files