開發人員請注意,如果您的應用程式會使用隱式 Intent 與本身的一項內部元件通訊,請詳閱本文資訊。
問題說明
您的一或多個應用程式出現隱式內部 Intent 問題。當應用程式利用隱式 Intent 與內部元件通訊,攻擊者就可以從中攔截並丟棄訊息、讀取訊息內容,或甚至竄改訊息內容。如果想知道您的應用程式在哪些地方使用了隱式 Intent,請前往 Play 管理中心查看您的應用程式通知。
如何修正「隱式內部 Intent」快訊提及的問題
檢查應用程式在哪些地方使用了 隱式 Intent。舉例來說,以下程式碼就是利用隱式 Intent 與內部元件通訊:
//應用程式有註冊 MY_CUSTOM_ACTION 的元件
//而該元件僅由這個應用程式註冊。也就是說,開發人員打算將這個 Intent
//安全傳送至內部元件。
Intent intent = new Intent("MY_CUSTOM_ACTION");
//將可能的敏感內容加入「Intent」
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google 建議開發人員使用顯式 Intent 與內部元件通訊,可行做法如下:
- 運用 Intent.setComponent 指明要處理 Intent 的元件。
- 運用 Intent.setClass 或 Intent.setClassName 指明目標元件。
- 運用 Intent.setPackage 限制該 Intent 所解析至的元件。
後續步驟
- 按照上方強調的步驟更新應用程式。
- 登入 Play 管理中心,提交應用程式的更新版本。
在您的申請進入審查階段前,新提交的應用程式或更新版本將處於審查中狀態。如果應用程式的問題未確實更正,您仍會收到警告。
我們很樂意提供協助
如有關於安全漏洞的技術問題,請前往 Stack Overflow 提問並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與我們的支援團隊聯絡。