HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。
必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android.com/training/articles/security-ssl.html。
在乌云漏洞平台上,有大量存在HTTPS证书不校验漏洞,例如国内绝大部分Android APP存在信任所有证书漏洞、亚马逊最新官方android版存在一处信任所有证书漏洞、Yahoo雅虎在国内访问遭遇SSL中间人攻击、携程旅游网最新android客户端https未校验证书导致https通信内容完全被捕获。