Implicit Internal Intent ‑haavoittuvuuden korjaaminen

Nämä tiedot on tarkoitettu kehittäjille, jotka käyttävät epätäsmällisiä tavoitteita saavuttaakseen jonkin sisäisistä komponenteistaan.

Mistä on kyse?

Yksi tai useampi sovelluksesi sisältää Implicit Internal Intent ‑ongelman. Sisäisen komponentin saavuttamiseksi käytetyt epätäsmälliset tavoitteet antavat hyökkääjille mahdollisuuden siepata viestin ja keskeyttää sen, lukea tai jopa korvata sen sisällön. Sovelluksesi epätäsmällisten tavoitteiden käyttökohdat löytyvät sovelluksen Play Console ‑ilmoituksesta.

Implicit Internal Intent ‑haavoittuvuushälytysten korjausohjeet

Tarkista sovelluksen kohta, jossa epätäsmällistä tavoitetta käytetään. Esimerkiksi seuraava koodi käyttää epätäsmällisiä tavoitteita sisäisen komponentin saavuttamiseen: 

//Sovelluksessa on komponentti, joka rekisteröi MY_CUSTOM_ACTIONin, joka on

//rekisteröity vain tällä sovelluksella, mikä tarkoittaa, että kehittäjä haluaa tämän tavoitteen 

//toimitettavan sisäiseen komponenttiin turvallisesti. 

Intent intent = new Intent("MY_CUSTOM_ACTION");

//Lisää mahdollisesti arkaluontoista sisältöä tavoitteeseen (intent) 

intent.putExtra("message", sensitive_content);

startActivity(intent);

Google suosittelee kehittäjiä käyttämään täsmällisiä tavoitteita saavuttaakseen sisäiset komponenttinsa seuraavasti:

Seuraavat vaiheet

  1. Päivitä sovellus noudattamalla yllä mainittuja ohjeita.
  2. Kirjaudu sisään Play Consoleen ja lähetä sovelluksesi päivitetty versio.

Tänä aikana uusi sovelluksesi tai sovelluspäivityksesi on tarkistus käynnissä ‑tilassa, kunnes pyyntö tarkistetaan. Jos sovellusta ei ole päivitetty oikein, näet varoituksen edelleen.

Autamme mielellämme

Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja ongelman ratkaisun vaiheista, voit ottaa yhteyttä tukitiimiimme.

false
Päävalikko
1365928089819587703
true
Ohjekeskushaku
true
true
true
true
true
5016068
false
false