इंटेंट स्कीम हाइजैकिंग के जोखिम की संभावना के लिए समाधान

यह जानकारी ऐसे डेवलपर के लिए तैयार की गई है जिनके ऐप्लिकेशन में इंटेंट स्कीम हाइजैकिंग के जोखिम की संभावना मौजूद है.

क्या हो रहा है

आपके एक या ज़्यादा ऐप्लिकेशन में इंटेंट स्कीम हाइजैकिंग की ऐसी समस्या मौजूद है जो ऐप्लिकेशन के निजी घटक एक्सेस करने के लिए गलत इरादों वाले नेटवर्क और वेबसाइटों को मंज़ूरी दे सकती है.कृपया अपने Play कंसोल में सूचना देखें. आपके Play कंसोल में दिख रही आखिरी तारीख के बाद, Google Play से ऐसे ऐप्लिकेशन हटाए जा सकते हैं जिनमें सुरक्षा से जुड़ी गड़बड़ियां शामिल हैं.

कार्रवाई करना ज़रूरी है

  1. अपने Play कंसोल में साइन इन करें और 'चेतावनियां' सेक्शन पर जाकर देखें कि किन ऐप्लिकेशन पर असर हुआ है और इन समस्याओं को ठीक करने की आखिरी तारीखें क्या हैं.

  2. नीचे हाइलाइट किए गए चरणों के इस्तेमाल से अपने वे ऐप्लिकेशन अपडेट करें जिन पर असर हुआ है.

  3. आपके जिन ऐप्लिकेशन पर असर हुआ है उनके अपडेट किए गए वर्शन सबमिट करें.

फिर से सबमिट करने के बाद, आपके ऐप्लिकेशन की दोबारा समीक्षा की जाएगी. इस प्रक्रिया में कई घंटे लग सकते हैं. अगर ऐप्लिकेशन समीक्षा में पास हो जाता है और उसे प्रकाशित कर दिया जाता है, तो फिर और कुछ करने की ज़रूरत नहीं है. अगर ऐप्लिकेशन समीक्षा में फ़ेल हो जाता है, तो ऐप्लिकेशन का नया वर्शन प्रकाशित नहीं किया जाएगा और आपको ईमेल से इसकी सूचना मिल जाएगी.

कुछ और जानकारी

गैर-भरोसेमंद वेब सामग्री पर जाने वाले WebViews, intent:// लिंक को Intent.parseUri का इस्तेमाल करके पार्स करते हैं और उन इंटेंट को startActivity का इस्तेमाल करके भेजते हैं, उनके साथ इंटेंट-स्कीम हाइजैकिंग होने का जोखिम बना रहता है. ये WebViews नुकसान पहुंचाने वाली वेब सामग्री के धोखे में आकर निजी ऐप्लिकेशन घटकों को मनचाहे इंटेंट भेज सकते हैं. इसकी वजह से ऐप्लिकेशन में निजी डेटा की चोरी जैसे जोखिम खड़े हो सकते हैं, जो ऐसे घटकों में फेरबदल कर देते हैं. ध्यान दें कि गैर-भरोसेमंद वेब सामग्री में HTTP पर लोड किए गए भरोसेमंद डोमेन की सामग्री शामिल होती है.

हम आपको आगे बताए गए किसी एक तरीके का इस्तेमाल करके यह जोखिम रोकने का सुझाव देते हैं:

पहला विकल्प: पक्का करें कि WebViews मनचाहे तरीके से इंटेंट नहीं भेज सकते हैं

ऐप्लिकेशन इस कोड का इस्तेमाल करके ऐसे इंटेंट में रुकावट डाल सकते हैं जो Intent.parseUri से बने हैं ताकि उन्हें ब्राउज़ करने लायक इंटेंट फ़िल्टर वाले घटकों के पास Implicit Intents के रूप में ही भेजा जाए:

     // convert Intent scheme URL to Intent object
  Intent intent = Intent.parseUri(url);
  // forbid launching activities without BROWSABLE category
  intent.addCategory("android.intent.category.BROWSABLE");
  // forbid explicit call
  intent.setComponent(null);
  // forbid Intent with selector Intent
  intent.setSelector(null);
  // start the activity by the Intent
  view.getContext().startActivity(intent, -1);

दूसरा विकल्प: पक्का करें कि जिन WebViews पर असर हुआ है, वे गैर-भरोसेमंद वेब सामग्री लोड न करें

अगर कोई WebView मनचाहे तरीके से intent:// स्कीम के यूआरएल पार्स करना चाहता है, तो कृपया पक्का करें कि वह गैर-भरोसेमंद वेब सामग्री लोड न करे. गैर-भरोसेमंद वेब सामग्री में ऐसे कनेक्शन पर लोड की गई वेब सामग्री शामिल है जिसे सुरक्षित नहीं किया गया है. डेवलपर अपने मेनिफ़ेस्ट में android:usesCleartextTraffic को गलत पर सेट कर सकते हैं या ऐसा Network Security Config सेट कर सकते हैं जो एचटीटीपी ट्रैफ़िक की मंज़ूरी नहीं देता. इसके अलावा, वे यह पक्का कर सकते हैं कि जिस भी WebViews पर असर हुआ है वह loadUrl के ज़रिए एचटीटीपी स्कीम वाला कोई भी यूआरएल लोड न करे.

हम डेवलपर को यह पक्का कर लेने का सुझाव देते है कि जिन WebViews पर असर हुआ है, वे बिना पाबंदी वाले ऐसे यूआरएल लोड न करें जो गैर-भरोसेमंद स्रोतों से मिले हों (जैसे कि गैर-भरोसेमंद इंटेंट से मिले यूआरएल). 

हम मदद के लिए मौजूद हैं
अगर आप जोखिम की संभावना से जुड़े तकनीकी सवाल पूछना चाहते हैं, तो आप Stack Overflow पर पोस्ट कर सकते हैं और “android-security” टैग का इस्तेमाल कर सकते हैं. इस समस्या को हल करने के लिए उठाए जाने वाले कदमों पर ज़्यादा जानकारी के लिए, आप हमारी डेवलपर सहायता टीम से संपर्क कर सकते हैं.

false
Google ऐप
मुख्य मेन्यू
6673821623570174481
true
खोज मदद केंद्र
true
true
true
true
true
5016068
false
false