Die folgenden Informationen richten sich an Entwickler von Apps, bei denen implizite Intents verwendet werden, um eine der internen Komponenten zu erreichen.
Problembeschreibung
Mindestens eine Ihrer Apps enthält ein Problem in Verbindung mit einem impliziten internen Intent. Implizite Intents, die dafür verwendet werden, eine interne Komponente zu erreichen, können Angreifern ermöglichen, die Nachricht abzufangen und sie entweder zu löschen, ihren Inhalt zu lesen oder ihn sogar zu ersetzen. Wo in Ihrer App implizite Intents genutzt werden, sehen Sie in der Benachrichtigung der Play Console zu Ihrer App.
So beheben Sie Probleme des Typs „Impliziter interner Intent“
Prüfen Sie, wo in Ihrer App ein impliziter Intent verwendet wird. Im folgenden Code beispielsweise werden implizite Intents dafür genutzt, eine interne Komponente zu erreichen:
//Die App hat eine Komponente, die MY_CUSTOM_ACTION registriert,
//das nur von dieser App registriert wird, was darauf hindeutet, dass der Entwickler möchte,
//dass dieser Intent sicher an die interne Komponente gesendet wird.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Potenziell vertraulichen Inhalt zu „intent“ hinzufügen
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google empfiehlt Entwicklern, explizite Intents zu verwenden, um ihre internen Komponenten zu erreichen. Dazu sollten sie so vorgehen:
- Intent.setComponent verwenden, um die Komponente explizit für die Verarbeitung des Intents einzurichten
- Intent.setClass oder Intent.setClassName verwenden, um explizit die Zielkomponente festzulegen
- Intent.setPackage verwenden, um die Komponenten einzuschränken, denen dieser Intent zugeordnet wird
Nächste Schritte
- Aktualisieren Sie Ihre App, indem Sie die oben beschriebenen Schritte ausführen.
- Melden Sie sich in der Play Console an und reichen Sie die aktualisierte Version Ihrer App ein.
Bis diese Überprüfung abgeschlossen ist, hat Ihre neue App oder Ihre App-Aktualisierung den Status Wird überprüft. Wenn die App nicht richtig aktualisiert wurde, wird die Warnung weiter angezeigt.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag „android-security“. Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Supportteam.