Эта статья предназначена для разработчиков приложений, которые используют неявные объекты intent для достижения внутренних компонентов.
Суть проблемы
В одном или нескольких ваших приложениях есть неявное внутреннее намерение Intent. Неявные объекты intent, которые используются для связи с внутренними компонентами, могут позволить злоумышленникам перехватывать сообщения и отменять их отправку, а также читать или заменять их содержимое. Информацию о расположении используемых неявных объектов intent в вашем приложении можно найти в уведомлении Play Console.
Как устранить оповещения "Неявное внутреннее намерение Intent"
В коде приложения найдите, где используется неявный объект intent. Например, в этом коде неявные объекты intent используются для связи с внутренними компонентами:
//В этом приложении есть компонент, который регистрирует функцию MY_CUSTOM_ACTION.
//Она регистрируется приложением, а это означает, что разработчик хочет, чтобы это намерение
//безопасно доставлялось во внутренний компонент.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//В объект intent добавляется потенциально конфиденциальный контент
intent.putExtra("message", sensitive_content);
startActivity(intent);
Мы рекомендуем разработчикам использовать явные объекты intent для связи с внутренними компонентами следующими способами:
- С помощью метода Intent.setComponent, который можно использовать, чтобы назначить компонент для обработки объектов intent.
- С помощью метода Intent.setClass или Intent.setClassName, чтобы назначить целевой компонент.
- С помощью метода Intent.setPackage, чтобы ограничить количество компонентов, к которым будет обращаться объект intent.
Что дальше
- Обновите приложение, следуя приведенным выше инструкциям.
- Войдите в Play Console и загрузите обновленную версию приложения.
В этот период и до рассмотрения заявки статус нового приложения или обновления изменится на На рассмотрении. Если приложение не было обновлено в соответствии с требованиями, предупреждение не исчезнет.
Мы всегда готовы помочь
Если у вас есть вопросы об уязвимости, задайте их на Stack Overflow, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.