Queste informazioni sono rivolte agli sviluppatori di app che utilizzano intent impliciti per raggiungere uno dei componenti interni.
Situazione attuale
Una o più delle tue app contengono un problema di intent interno implicito. Gli intent impliciti utilizzati per raggiungere un componente interno consentono a utenti malintenzionati di intercettare il messaggio e bloccarlo, leggerne i contenuti o persino sostituirne i contenuti. Puoi trovare le posizioni degli utilizzi di intent impliciti dell'app nella notifica di Play Console relativa all'app.
Come correggere gli avvisi "Intent interno implicito"
Controlla se nella tua app è presente la posizione in cui è stata utilizzato un intent implicito. Ad esempio, il seguente codice utilizza gli intent impliciti per raggiungere un componente interno:
//L'app contiene un componente che registra MY_CUSTOM_ACTION soltanto
//per questa app, segnalando che lo sviluppatore vuole che questo intent
//sia recapitato a un componente interno in modo sicuro.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Aggiungi contenuti potenzialmente sensibili all'"intent"
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google consiglia agli sviluppatori di utilizzare intent espliciti per raggiungere i propri componenti interni inserendo:
- Intent.setComponent per impostare in modo esplicito il componente che gestirà l'intent.
- Intent.setClass o Intent.setClassName per impostare in modo esplicito il componente di destinazione.
- Intent.setPackage per limitare i componenti in cui verrà risolto l'intent in questione.
Passaggi successivi
- Aggiorna la tua app seguendo i passaggi precedenti.
- Accedi a Play Console e invia una versione aggiornata della tua app.
In questo lasso di tempo, la tua nuova app o l'aggiornamento dell'app presenterà lo stato In revisione fino al termine dell'esame della tua richiesta. Se l'app non è stata aggiornata correttamente, continuerai a vedere l'avviso.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow utilizzando il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza.