Android 中的 Zoom SDK 漏洞问题
Zoom SDK Vulnerability issue in Android
自从我们集成了Zoom SDK,Google就开始发送漏洞预警邮件;如果不修复,他们将关闭该应用程序。根据 Zoom Rolling Out End-to-End Encryption Offering 上的 Zoom 博客文章,他们致力于解决与安全相关的问题,而且似乎已经解决了这些问题。因此,我们在我们的应用程序中更新了 Zoom SDK 的最新版本,其中包含所有这些安全修复程序。我们在应用中使用的版本是 "zoom-sdk-android-5.4.3.613"
。提交应用后,我们再次收到来自Google的警告邮件。现在这真的很令人沮丧。有人可以帮忙吗?
更新:
所以我在 Zoom Support 提出了一个问题,他们立即将其关闭为“已解决”。 Link到票:https://support.zoom.us/hc/en-us/requests/9837191
所以我们终于能够缩小根本原因的范围。我们从 Google Play 得到的问题是“Intent Redirection Violation”。我将列出我们为解决该问题所做的所有工作:
肯定需要更新 Zoom SDK,我们已经完成了。
根据 Google 建议,我们检查了是否有任何意图重定向不受信任。为此,我们可以将这段代码放在 Activity:
的 onCreate() 中
// check if the originating Activity is from trusted package
if (getCallingActivity().getPackageName().equals("known")) {
Intent intent = getIntent();
// extract the nested Intent
Intent forward = (Intent) intent.getParcelableExtra("key");
// redirect the nested Intent
startActivity(forward);
}
我们使用 SMS Verification APIs and protecting a broadcast receiver with the SEND_PERMISSION 将确保 Intent 来自 Play 服务。 在我们的例子中,这个 SEND_PERMISSION 没有设置。
自从我们集成了Zoom SDK,Google就开始发送漏洞预警邮件;如果不修复,他们将关闭该应用程序。根据 Zoom Rolling Out End-to-End Encryption Offering 上的 Zoom 博客文章,他们致力于解决与安全相关的问题,而且似乎已经解决了这些问题。因此,我们在我们的应用程序中更新了 Zoom SDK 的最新版本,其中包含所有这些安全修复程序。我们在应用中使用的版本是 "zoom-sdk-android-5.4.3.613"
。提交应用后,我们再次收到来自Google的警告邮件。现在这真的很令人沮丧。有人可以帮忙吗?
更新:
所以我在 Zoom Support 提出了一个问题,他们立即将其关闭为“已解决”。 Link到票:https://support.zoom.us/hc/en-us/requests/9837191
所以我们终于能够缩小根本原因的范围。我们从 Google Play 得到的问题是“Intent Redirection Violation”。我将列出我们为解决该问题所做的所有工作:
肯定需要更新 Zoom SDK,我们已经完成了。
根据 Google 建议,我们检查了是否有任何意图重定向不受信任。为此,我们可以将这段代码放在 Activity:
的 onCreate() 中// check if the originating Activity is from trusted package if (getCallingActivity().getPackageName().equals("known")) { Intent intent = getIntent(); // extract the nested Intent Intent forward = (Intent) intent.getParcelableExtra("key"); // redirect the nested Intent startActivity(forward); }
我们使用 SMS Verification APIs and protecting a broadcast receiver with the SEND_PERMISSION 将确保 Intent 来自 Play 服务。 在我们的例子中,这个 SEND_PERMISSION 没有设置。