Отстраняване на уязвимост от тип „косвено вътрешно намерение“

Тази информация е предназначена за програмисти, чиито приложения използват косвено намерение, за да достигат до някой от вътрешните си компоненти.

Какво се случва

Едно или повече от приложенията ви съдържат проблем, свързан с косвено вътрешно намерение. Косвените намерения, използвани за достигане до вътрешен компонент, дават възможност на хакерите да прихванат съобщението и да го спрат, да го прочетат или дори да заменят съдържанието му. Местата в приложението ви, в които се използва косвено намерение, могат да бъдат намерени в известието от Play Console.

Как да отстраните проблеми, свързани със сигнали за косвено вътрешно намерение

Прегледайте приложението си, за да намерите мястото, където се използва косвено намерение. Например в следния код се използват косвени намерения за достигане до вътрешен компонент:

//Приложението има компонент за регистриране на действието MY_CUSTOM_ACTION, което

//се регистрира само от това приложение. Това означава, че програмистът е планирал намерението

//да бъде доставено надеждно до вътрешния компонент. 

Intent intent = new Intent("MY_CUSTOM_ACTION");

//Добавяне на потенциално деликатно съдържание към intent

intent.putExtra("message", sensitive_content);

startActivity(intent);

Google препоръчва на програмистите да използват явни намерения за достигане до вътрешните си компоненти по един от следните начини:

• Използвайте Intent.setComponent, за да зададете изрично компонента, който да обработва намерението.
• Използвайте Intent.setClass или Intent.setClassName, за да зададете изрично целевия компонент.
• Използвайте Intent.setPackage, за да ограничите компонентите, към които ще води това намерение.

Следващи стъпки

1. Актуализирайте приложението си, като изпълните горепосочените стъпки.
2. Влезте в профила си в Play Console и изпратете актуализирана версия на приложението си.

Докато заявката ви не бъде прегледана, състоянието на новото ви приложение или актуализацията ще бъде В процес на преглеждане. Ако приложението не е актуализирано правилно, ще продължите да виждате предупреждението.

На ваше разположение сме

Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка.