Android 中的 Zoom SDK 漏洞问题

Zoom SDK Vulnerability issue in Android

自从我们集成了Zoom SDK,Google就开始发送漏洞预警邮件;如果不修复,他们将关闭该应用程序。根据 Zoom Rolling Out End-to-End Encryption Offering 上的 Zoom 博客文章,他们致力于解决与安全相关的问题,而且似乎已经解决了这些问题。因此,我们在我们的应用程序中更新了 Zoom SDK 的最新版本,其中包含所有这些安全修复程序。我们在应用中使用的版本是 "zoom-sdk-android-5.4.3.613"。提交应用后,我们再次收到来自Google的警告邮件。现在这真的很令人沮丧。有人可以帮忙吗?

更新:

所以我在 Zoom Support 提出了一个问题,他们立即将其关闭为“已解决”。 Link到票:https://support.zoom.us/hc/en-us/requests/9837191

所以我们终于能够缩小根本原因的范围。我们从 Google Play 得到的问题是“Intent Redirection Violation”。我将列出我们为解决该问题所做的所有工作:

  1. 肯定需要更新 Zoom SDK,我们已经完成了。

  2. 根据 Google 建议,我们检查了是否有任何意图重定向不受信任。为此,我们可以将这段代码放在 Activity:

    的 onCreate() 中
    // check if the originating Activity is from trusted package
    if (getCallingActivity().getPackageName().equals("known")) {
      Intent intent = getIntent();
      // extract the nested Intent
      Intent forward = (Intent) intent.getParcelableExtra("key");
      // redirect the nested Intent
      startActivity(forward);
    }
    
  3. 我们使用 SMS Verification APIs and protecting a broadcast receiver with the SEND_PERMISSION 将确保 Intent 来自 Play 服务。 在我们的例子中,这个 SEND_PERMISSION 没有设置。