Te informacje są przeznaczone dla deweloperów aplikacji, które korzystają z intencji ogólnych, aby dotrzeć do jednego z wewnętrznych komponentów.
O co chodzi?
Co najmniej jedna z Twoich aplikacji zawiera błąd związany z wewnętrzną intencją ogólną. Intencje ogólne, używane, aby dotrzeć do wewnętrznego komponentu, pomagają osobom przeprowadzającym atak przechwycić wiadomość, a następnie porzucić ją, odczytać jej zawartość lub nawet tę zawartość podmienić. Miejsca wystąpienia intencji ogólnej w Twojej aplikacji znajdziesz w powiadomieniu z Konsoli Play.
Naprawianie alertów związanych z wewnętrzną intencją ogólną
Znajdź w aplikacji miejsce, w którym jest używana intencja ogólna. Na przykład ten kod korzysta z intencji ogólnej, aby dotrzeć do wewnętrznego komponentu:
//Ta aplikacja ma komponent rejestrujący intencję MY_CUSTOM_ACTION, która jest
//rejestrowana tylko przez tę aplikację, co wskazuje, że deweloper chce, aby ta intencja
//została bezpiecznie dostarczona do komponentu wewnętrznego.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Tutaj do elementu 'intent' dodano potencjalnie wrażliwe treści
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google zaleca programistom korzystanie z intencji bezpośrednich, aby można było dotrzeć do komponentów wewnętrznych na jeden z tych sposobów:
- Przez użycie Intent.setComponent do jednoznacznego wyznaczenia komponentu do obsługi intencji.
- Przez użycie Intent.setClass lub Intent.setClassName do jednoznacznego ustawienia komponentu docelowego.
- Użyj Intent.setPackage, aby ograniczyć komponenty, do których będzie skierowana intencja.
Dalsze kroki
- Zaktualizuj aplikację w sposób opisany powyżej.
- Zaloguj się w Konsoli Play i prześlij zaktualizowaną wersję aplikacji.
Do czasu rozpatrzenia Twojego zgłoszenia nowa aplikacja lub aktualizacja aplikacji będzie miała status W trakcie sprawdzania. Jeśli aplikacja nie została poprawnie zaktualizowana, ostrzeżenie nadal będzie się pojawiać.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na stronie Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności niezbędnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy.