Esta información va dirigida a los desarrolladores de aplicaciones que usan intents implícitas para acceder a uno de sus componentes internos.
¿Qué ocurre?
Una o varias de tus aplicaciones tienen un problema de intents implícitas internas. Las intents implícitas que se utilizan para acceder a un componente interno permiten a los atacantes interceptar el mensaje y detenerlo, eliminarlo o incluso reemplazar su contenido. Las ubicaciones de los usos de intents implícitas se encuentran en la notificación de Play Console de tu aplicación.
Cómo solucionar las alertas de intents implícitas internas
En tu aplicación, busca la ubicación donde se usa una intent implícita. Por ejemplo, el siguiente código utiliza intents implícitas para acceder a un componente interno:
//La aplicación tiene un componente que registra MY_CUSTOM_ACTION, que solo
//se registra en esta aplicación, lo que indica que el desarrollador dirige esta intent
//al componente interno de forma segura.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Añade contenido potencialmente sensible a "intent"
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google recomienda que los desarrolladores utilicen intents explícitas para acceder a sus componentes internos siguiendo uno de estos pasos:
- Configura el componente de forma explícita con Intent.setComponent para que controle la intent.
- Define el componente al que quieres acceder de forma explícita con Intent.setClass o Intent.setClassName.
- Usa Intent.setPackage para limitar los componentes a los que se dirigirá esta intent.
Pasos siguientes
- Sigue los pasos mencionados anteriormente para actualizar tu aplicación.
- Inicia sesión en Play Console y envía la versión actualizada de tu aplicación.
Durante este tiempo, la aplicación nueva o la actualización de la aplicación estará en revisión hasta que se revise la solicitud. Si la aplicación no se ha actualizado correctamente, se seguirá mostrando la advertencia.
Estamos aquí para ayudarte
Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de Asistencia si necesitas más información para resolver este problema.