תיקון פרצת אבטחה מסוג Implicit Internal Intent

המידע הזה מיועד למפתחים שבאפליקציות שלהם נעשה שימוש באובייקטים מרומזים של Intent כדי להגיע לאחד הרכיבים הפנימיים שלהן.

מה קורה?

קיימת בעיה של פרצת אבטחה מסוג Implicit Internal Intent באחת או יותר מהאפליקציות שלכם. אובייקטים מרומזים של Intent המשמשים כדי להגיע לרכיב פנימי מאפשרים לתוקפים לעכב את ההודעה. הם יכולים לעצור את שליחתה, לקרוא את התוכן או אפילו לשנות את התוכן. תוכלו למצוא את המיקומים שבהם נעשה שימוש באובייקט Intent מרומז באפליקציה שלכם בהתראה של Play Console לאפליקציה שלכם.

איך לתקן התראות מסוג "Implicit Internal Intent"

בודקים באפליקציה את המיקום שבו נעשה שימוש באובייקט Intent מרומז. לדוגמה, הקוד הבא משתמש באובייקטים מרומזים של Intent כדי להגיע לרכיב פנימי:

//לאפליקציה יש רכיב שרושם את MY_CUSTOM_ACTION,

//שנרשם רק על ידי האפליקציה הזו, סימן לכך שהמפתח התכוון שה-Intent הזה

//יגיע בבטחה לרכיב הפנימי. 

Intent intent = new Intent("MY_CUSTOM_ACTION");

//הוספת תוכן שעשוי להיות רגיש אל 'intent' 

intent.putExtra("message", sensitive_content);

startActivity(intent);

אנחנו ב-Google ממליצים למפתחים להשתמש באובייקטים מפורשים של Intent כדי להגיע לרכיבים הפנימיים שלהם, על ידי אחת משתי האפשרויות הבאות:

• משתמשים ב-Intent.setComponent כדי להגדיר במפורש את הרכיב שיטפל ב-Intent.
• משתמשים ב-Intent.setClassאו ב-Intent.setClassName כדי להגדיר במפורש את רכיב היעד.
• משתמשים ב-Intent.setPackage כדי להגביל את הרכיבים ש-Intent זה יתאים עבורם נתונים.

השלבים הבאים

1. מעדכנים את האפליקציה לפי השלבים המודגשים למעלה.
2. נכנסים לחשבון Play Console ושולחים את הגרסה המעודכנת של האפליקציה.

במהלך פרק הזמן הזה, האפליקציה החדשה או המעודכנת שלכם תהיה במצב בדיקה עד שנסיים לבדוק את הבקשה שהגשתם. אם האפליקציה לא תעודכן כראוי, האזהרה עדיין תופיע.

אנחנו כאן כדי לעזור

אם יש לכם שאלות טכניות לגבי פרצת האבטחה, תוכלו לפרסם אותן בעמוד Stack Overflow ולהשתמש בתג “android-security”. להבהרות על השלבים שיש לבצע כדי לפתור את הבעיה, ניתן ליצור קשר עם צוות התמיכה שלנו.