Estas informações destinam-se aos programadores com uma ou mais apps que utilizam intents implícitos para alcançar um dos seus componentes internos.
O que está a acontecer
Uma ou mais das suas apps contêm um problema de intents implícitos internos. Os intents implícitos utilizados para alcançar um componente interno permitem que os atacantes intercetem a mensagem e a larguem, leiam o respetivo conteúdo ou até o substituam. Pode encontrar as localizações das utilizações de intents implícitos na sua app na notificação da Play Console relativa à mesma.
Como corrigir alertas de "intents implícitos internos"
Verifique a sua app relativamente à localização onde é utilizado um intent implícito. Por exemplo, o código seguinte utiliza intents implícitos para alcançar um componente interno:
//A app tem um componente que regista MY_CUSTOM_ACTION, que é apenas
//registado por esta app de forma a indicar que o programador pretende que este intent
//seja fornecido ao componente interno de forma segura.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Adicione conteúdo potencialmente sensível ao "intent"
intent.putExtra("message", sensitive_content);
startActivity(intent);
A Google recomenda que os programadores utilizem intents explícitos para alcançar os respetivos componentes internos através de uma das seguintes formas:
- Utilize Intent.setComponent para definir explicitamente o componente que vai processar o intent.
- Utilize Intent.setClass ou Intent.setClassName para definir explicitamente o componente de destino.
- Utilize Intent.setPackage para limitar os componentes para os quais este intent reencaminha.
Passos seguintes
- Atualize a sua app ao seguir os passos realçados acima.
- Inicie sessão na Play Console e envie uma versão atualizada da app.
Durante este período, a nova app ou a atualização da app estará num estado em revisão até que o seu pedido seja revisto. Se a app não tiver sido atualizada corretamente, continuará a ver o aviso.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa do apoio técnico.