Nämä tiedot on tarkoitettu kehittäjille, joiden sovellukset sisältävät SQL-lisäyshaavoittuvuuden.
Mistä on kyse?
Yhdessä tai useammassa sovelluksessasi on SQL-lisäyshaavoittuvuus, joka on korjattava. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset saatetaan poistaa Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
Query-, update- ja delete-toiminnot viedyssä ContentProvidersissa voivat olla alttiita SQL-lisäyshaavoittuvuudelle, jos ne lisäävät turvatonta sisältöä SQL-ilmoituksiin. Haitallinen sovellus voi lisätä luomaansa sisältöä päästäkseen käsiksi yksityisiin tietoihin tai vioittaakseen tietokannan sisältöä. Voit korjata tämän ongelman seuraavilla tavoilla:
Jos haavoittuneen ContentProviderin ei tarvitse näkyä muille sovelluksille:
- Voit muokata asiaan liittyvän
ContentProviderin<provider>-tagia luettelossasi, jotta voit tehdä määrityksenandroid:exported="false". Tämä estää muita sovelluksia lähettämästä tavoitteita haavoittuvalleContentProviderille. -
Voit myös määrittää
android:permission-attribuutinkäyttöoikeudeksikoodillaandroid:protectionLevel="signature", ja estää näin muiden kehittäjien kirjoittamaa koodia lähettämästä tavoitteita haavoittuvalleContentProviderille.
Jos haavoittuneen ContentProviderin on oltava muiden sovellusten näkyvissä:
- Voit estää SQL-lisäyksen
SQLiteDatabase.queryynkäyttämällä tiukkaa tilaa ennustekartan kanssa. Tiukka tila suojaa haitallisilta valintalausekkeilta ja ennustekartta suojaa haitallisilta ennustelausekkeilta. Sinun on käytettävä molempia ominaisuuksia varmistaaksesi, että kyselysi ovat turvassa. - Voit estää SQL-lisäyksen
SQLiteDatabase.updateenjaSQLiteDatabase.deleteenkäyttämällä valintalauseketta, jossa on käytössä"?"korvattavana parametrinä ja erillinen joukko valinta-argumentteja. Valintalausekkeesi ei pitäisi koostua epäluotettavasta sisällöstä.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.