Nämä tiedot on tarkoitettu kehittäjille, jotka käyttävät epätäsmällisiä tavoitteita saavuttaakseen jonkin sisäisistä komponenteistaan.
Mistä on kyse?
Yksi tai useampi sovelluksesi sisältää Implicit Internal Intent ‑ongelman. Sisäisen komponentin saavuttamiseksi käytetyt epätäsmälliset tavoitteet antavat hyökkääjille mahdollisuuden siepata viestin ja keskeyttää sen, lukea tai jopa korvata sen sisällön. Sovelluksesi epätäsmällisten tavoitteiden käyttökohdat löytyvät sovelluksen Play Console ‑ilmoituksesta.
Implicit Internal Intent ‑haavoittuvuushälytysten korjausohjeet
Tarkista sovelluksen kohta, jossa epätäsmällistä tavoitetta käytetään. Esimerkiksi seuraava koodi käyttää epätäsmällisiä tavoitteita sisäisen komponentin saavuttamiseen:
//Sovelluksessa on komponentti, joka rekisteröi MY_CUSTOM_ACTIONin, joka on
//rekisteröity vain tällä sovelluksella, mikä tarkoittaa, että kehittäjä haluaa tämän tavoitteen
//toimitettavan sisäiseen komponenttiin turvallisesti.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Lisää mahdollisesti arkaluontoista sisältöä tavoitteeseen (intent)
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google suosittelee kehittäjiä käyttämään täsmällisiä tavoitteita saavuttaakseen sisäiset komponenttinsa seuraavasti:
- Käytä Intent.setComponentia ja määritä komponentti eksplisiittisesti käsittelemään tavoitetta.
- Käytä Intent.setClassia tai Intent.setClassNamea ja määritä kohdekomponentti eksplisiittisesti.
- Käytä Intent.setPackagea ja rajoita komponentteja, joihin tämä tavoite johtaa.
Seuraavat vaiheet
- Päivitä sovellus noudattamalla yllä mainittuja ohjeita.
- Kirjaudu sisään Play Consoleen ja lähetä sovelluksesi päivitetty versio.
Tänä aikana uusi sovelluksesi tai sovelluspäivityksesi on tarkistus käynnissä ‑tilassa, kunnes pyyntö tarkistetaan. Jos sovellusta ei ole päivitetty oikein, näet varoituksen edelleen.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja ongelman ratkaisun vaiheista, voit ottaa yhteyttä tukitiimiimme.