Te informacje są przeznaczone dla programistów aplikacji, które zawierają podatną na ataki implementację rozliczeń w aplikacji.
Jeśli aplikacja wywołuje usługę rozliczeń w aplikacji bez ustawiania pakietu docelowego, może to umożliwić złośliwemu pakietowi ominięcie systemu zakupów w Sklepie Play i uzyskanie dostępu do danych z aplikacji.
Sposób naprawy:
- Jeśli korzystasz z IabHelper, zacznij używać najnowszego pakietu SDK.
- Jeśli ręcznie wywołujesz usługę rozliczeń w aplikacji, upewnij się, że wywoływana jest metoda Intent.setPackage(“com.android.vending”) przy wszystkich odwołaniach do „com.android.vending.billing.InAppBillingService.BIND”.
- Zaloguj się w Developer Console i prześlij zaktualizowaną wersję aplikacji.
- Sprawdź za pięć godzin. Jeśli aplikacji nie udało się zaktualizować, zobaczysz ostrzeżenie.
Jeśli masz pytania techniczne, możesz opublikować je na stronie Stack Overflow, używając tagu „android-security”. Pamiętaj, że na stronie Stack Overflow nie należy publikować pytań na temat zasad obowiązujących w Google Play.
Pamiętaj, że aplikacje muszą być też zgodne z Umową dystrybucyjną dla programistów i Polityką treści. Jeśli Twoim zdaniem otrzymujesz to ostrzeżenie o luce w zabezpieczeniach przez pomyłkę, skontaktuj się z naszym zespołem pomocy ds. zasad, korzystając z Centrum pomocy dla programistów Google Play.