安全警告：您的应用中包含嵌入式私钥或密钥存储文件

Question

我最近接到了谷歌邮件：

**安全警告：您的应用中包含嵌入式私钥或密钥存储文件

这个程序包含一个或嵌入在其发布的apk中的更多私钥或密钥库文件，如本邮件末尾所列。这些嵌入式项目可以被第三方访问，这可以根据密钥的用途提出各种不同的安全问题。例如，如果私钥是您的应用程序的签名密钥，则第三方可以签署并分发替换您的真实应用程序或破坏它们的应用程序。这样的派对也可以根据你的身份签署和发布应用。

作为一般的安全性，我们强烈建议您不要嵌入的私钥和密钥存储文件的应用程序，即使密钥受到密码保护或模糊处理。保护私钥和密钥库文件的最有效方法是不传播它们。 请尽早从您的应用中删除您的私钥和密钥库文件。有关保护您的密钥安全的更多信息，请参阅https://developer.android.com/tools/publishing/app-signing.html。

作为开发人员，您有责任在任何时候妥善保护您的私钥。请注意，具有易受攻击风险的漏洞应用程序可能被视为“危险产品”，可能会从Google Play中删除。

组织/ BouncyCastle的/ OpenSSL的/测试/数据/ RSA/openssl_rsa_unencrypted.pem **

我检查我的APK，我没有保存在我的应用程序的任何密钥库或密码。由于我在应用中没有任何.pem文件。

在我的应用我使用Crashlytics，droidText.Jar。所以，任何人都可以请如何解决这个错误。

Answer 1

警告正被BouncyCastle的目录下的.pem文件触发 - .pem文件通常是私有密钥的出口，并且是有效的密钥库（通常只包含一个私钥，但仍密钥库的一种形式），因此，谷歌的警告有关private keys or keystore files.

的BouncyCastle的东西是最有可能拖在由别的东西的依赖，你正在使用。

在我遇到过这种情况的所有情况下，它都是可以安全删除的测试数据。

你需要狩猎下来APK中，并删除它 - 应该是足够安全的删除整个/test/data路径。