本文面向的是所开发应用在实现应用内购买结算的方式上存在漏洞的开发者。
如果您的应用会调用应用内购买结算服务,但又没有为 intent 设置目标产品包,那么可能会使恶意产品包绕过 Play 商店购买系统来访问应用中的数据。
解决步骤:
- 如果您使用的是 IabHelper,请开始使用最新的 SDK。
- 如果您是手动调用应用内购买结算服务,请确保您对“com.android.vending.billing.InAppBillingService.BIND”的任何 intent 都在调用 Intent.setPackage(“com.android.vending”)。
- 登录 Developer Console 并提交应用的更新版本。
- 过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示警告消息。
如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。请注意,请勿在 Stack Overflow 上发布关于 Play 政策的问题。
注意:应用还必须遵循开发者分发协议和内容政策。如果您认为自己不应收到这条漏洞警告,请通过 Google Play 开发者帮助中心与我们的政策支持团队联系。