Deze informatie is bedoeld voor ontwikkelaars met apps die gebruikmaken van impliciete intenties om een van hun interne componenten te bereiken.
Wat er gebeurt
Een of meer van je apps hebben een probleem met impliciete interne intenties. Via impliciete intenties die worden gebruikt om een interne component te bereiken, kunnen aanvallers het bericht onderscheppen. Ze kunnen het bericht vervolgens verwijderen, de bijbehorende inhoud lezen of de inhoud zelfs vervangen. Je vindt de locaties waar impliciete intenties worden gebruikt in je app in de Play Console-melding voor je app.
Problemen met impliciete interne intenties oplossen
Bekijk in je app de locatie waar een impliciete intentie wordt gebruikt. De volgende code gebruikt bijvoorbeeld impliciete intenties om een interne component te bereiken:
//De app heeft een component die MY_CUSTOM_ACTION registreert (wat alleen wordt
//geregistreerd door deze app) waarmee wordt aangegeven dat de ontwikkelaar deze intentie
//beveiligd aan de interne component wil leveren.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Voeg potentieel gevoelige content toe aan 'intent'
intent.putExtra("message", sensitive_content);
startActivity(intent);
Google raadt ontwikkelaars aan expliciete intenties te gebruiken om hun interne componenten te bereiken. Dit kan op een van de volgende manieren worden gedaan:
- Gebruik Intent.setComponent om de component expliciet in te stellen om de intentie te verwerken.
- Gebruik Intent.setClass of Intent.setClassName om de doelcomponent expliciet in te stellen.
- Gebruik Intent.setPackage om de componenten te beperken waarnaar deze intentie wordt omgezet.
Volgende stappen
- Update je app volgens de hierboven beschreven stappen.
- Log in bij je Play Console en dien een geüpdatete versie van je app in.
Gedurende deze tijd heeft je nieuwe app of app-update de status Wordt beoordeeld totdat je verzoek is beoordeeld. Als de app niet correct is geüpdatet, blijf je de waarschuwing zien.
We helpen je graag
Als je technische vragen over de kwetsbaarheid hebt, kun je een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons supportteam voor meer informatie over de stappen die je moet uitvoeren om dit probleem op te lossen.