Biztonsági rés az alkalmazáson belüli számlázásban

Ezt az információt azon fejlesztőknek szánjuk, akik sebezhető módon valósították meg az alkalmazáson belüli számlázást valamely alkalmazásukban. 

Ha az alkalmazásod anélkül hívja meg az alkalmazáson belüli számlázás szolgáltatást, hogy az „intent” elem számára célcsomagot adna meg, akkor a rosszindulatú csomagok kikerülhetik a Play Áruház vásárlási rendszerét, és hozzáférhetnek az alkalmazásodban tárolt adatokhoz.

A biztonsági rés kijavításának lépései:

  1. Ha IabHelpert használsz, akkor kezdd el használni a legújabb SDK-t
  2. Ha manuálisan hívod meg az alkalmazáson belüli számlázás szolgáltatást, bizonyosodj meg arról, hogy az Intent.setPackage(„com.android.vending”) metódust az összes „intent” esetén a következő csomaghoz hívod meg: „com.android.vending.billing.InAppBillingService.BIND”.
  3. Jelentkezz be Developer Console-fiókodba, és küldd be az alkalmazásod frissített verzióját. 
  4. Nézz vissza öt óra elteltével – figyelmeztető üzenetet jelenítünk meg, ha az alkalmazás frissítése nem volt megfelelő. 
     

Egyéb technikai kérdéseidet a Stack Overflow webhelyen az „android-security” címke használatával teheted fel. Kérjük, vedd figyelembe, hogy a Play irányelveivel kapcsolatos kérdéseket nem a Stack Overflow webhelyen kell feltenni.

Vedd figyelembe, hogy az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a Tartalmi irányelvekben foglalt rendelkezéseknek. Ha úgy véled, tévedésből kaptad ezt a figyelmeztetést, akkor a Google Play fejlesztői súgón keresztül veheted fel a kapcsolatot az irányelvekkel foglalkozó ügyfélszolgálati csapatunkkal.