Як усунути загрозу безпеці через неявний внутрішній намір

Ця інформація призначена для розробників, у чиїх додатках використовуються неявні наміри для активації одного з внутрішніх компонентів.

У чому проблема

Принаймні для одного з ваших додатків виявлено проблему з неявним внутрішнім наміром. Якщо для активації внутрішніх компонентів використовуються неявні наміри, зловмисники можуть перехопити повідомлення й видалити його або прочитати чи навіть замінити його вміст. Про місця, де у вашому додатку використовуються неявні наміри, можна дізнатися зі сповіщення Play Console для такого додатка.

Як вирішити проблему з неявним внутрішнім наміром

Знайдіть місце у своєму додатку, де використовується неявний намір. Наприклад, наведений нижче код містить неявні наміри для активації внутрішнього компонента.

//Додаток містить компонент, який реєструє намір MY_CUSTOM_ACTION, що реєструється лише

//цим додатком. Це означає, що розробник передбачає безпечну доставку цього наміру

//у внутрішній компонент.

Intent intent = new Intent("MY_CUSTOM_ACTION");

//Додавання потенційно конфіденційного контенту в "intent"

intent.putExtra("message", sensitive_content);

startActivity(intent);

Google радить розробникам застосовувати для активації внутрішніх компонентів свого додатка явні наміри. Для цього потрібно використовувати один із таких методів:

Intent.setComponent, щоб явно задати компонент, що оброблятиме намір;
Intent.setClass або Intent.setClassName, щоб явно задати цільовий компонент;
Intent.setPackage, щоб обмежити групу компонентів, до яких може звертатися цей намір.

Подальші дії

Оновіть додаток, виконавши вказані вище дії.
Увійдіть в обліковий запис Play Console і надішліть оновлену версію додатка.

Доки запит не буде розглянуто, ваш новий додаток або його оновлення матиме статус Перевіряється. Якщо додаток оновлено неправильно, ви й надалі бачитимете застереження.

Ми завжди раді допомогти

Якщо у вас є технічні запитання про цю загрозу безпеці, опублікуйте їх на сайті Stack Overflow з тегом android-security. Щоб дізнатися більше про те, як вирішити цю проблему, зв'яжіться з нашою службою підтримки.