Thông tin này dành cho nhà phát triển có (các) ứng dụng sử dụng Ý định ngầm ẩn để truy cập một trong các thành phần nội bộ của họ.
Hiện trạng
Một hoặc nhiều ứng dụng của bạn chứa lỗ hổng Ý định nội bộ ngầm ẩn. Các Ý định ngầm ẩn dùng để truy cập một thành phần nội bộ cho phép kẻ tấn công can thiệp vào tin nhắn và dừng, đọc nội dung hoặc thậm chí thay thế nội dung của tin nhắn. Bạn có thể tìm thấy (các) vị trí của (các) cách sử dụng Ý định ngầm ẩn trong ứng dụng của mình tại phần thông báo dành cho ứng dụng của bạn trên Play Console.
Cách khắc phục cảnh báo "Ý định nội bộ ngầm ẩn"
Xem lại ứng dụng của bạn để tìm vị trí mà Ý định ngầm ẩn được sử dụng. Ví dụ: mã sau sử dụng Ý định ngầm ẩn để truy cập một thành phần nội bộ:
//The app has a component that registers MY_CUSTOM_ACTION, which is only
//registered by this app, indicating that the dev intends for this Intent
//to be delivered to the internal component safely.
Intent intent = new Intent("MY_CUSTOM_ACTION");
//Add potentially sensitive content to 'intent'
intent.putExtra("message", sensitive_content);
startActivity(intent);
Các nhà phát triển nên sử dụng Ý định tường minh để truy cập các thành phần nội bộ bằng cách:
- Sử dụng Intent.setComponent để nêu rõ thành phần cần xử lý Ý định này.
- Sử dụng Intent.setClass hoặc Intent.setClassName để nêu rõ thành phần mục tiêu.
- Sử dụng Intent.setPackage để giới hạn các thành phần mà Ý định này sẽ truy cập.
Bước tiếp theo
- Cập nhật ứng dụng theo các bước được nêu ở trên.
- Đăng nhập vào Play Console và gửi một phiên bản cập nhật của ứng dụng.
Trong thời gian này, ứng dụng mới hoặc bản cập nhật ứng dụng của bạn sẽ ở trạng thái đang xem xét cho đến khi yêu cầu của bạn được xem xét. Bạn sẽ vẫn thấy thông báo khi chưa cập nhật ứng dụng đúng cách.
Chúng tôi sẵn lòng trợ giúp
Nếu bạn có câu hỏi kỹ thuật về lỗ hổng bảo mật này, bạn có thể đăng lên Stack Overflow và gắn thẻ "android-security". Để hiểu rõ hơn về các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ của chúng tôi.