Google 因修正隐式挂起的故意漏洞而拒绝更新

android java google-play huawei-mobile-services huawei-push-notification

2022-09-01 14:34:51

当我尝试更新我的应用程序时 - 我在审核过程中遇到错误。隐式挂起意外漏洞的修正 - https://support.google.com/faqs/answer/10437428。在我的应用程序中，我正在为Firebase推送通知创建待定智能：

在 FCMService 类内部扩展了 FirebaseMessagingService

@Override
    public void onMessageReceived(@NotNull RemoteMessage remoteMessage) {
        super.onMessageReceived(remoteMessage);

        Intent intent = new Intent(this, ApplicationActivity.class);
        intent.setAction("com.google.firebase.MESSAGING_EVENT");
        intent.setPackage(getApplicationContext().getPackageName());

        Map<String, String> data = remoteMessage.getData();
        for (Map.Entry<String, String> entry : data.entrySet()) {
            String value = entry.getValue();
            String key = entry.getKey();
            if (key.equals(ApplicationActivity.LINK_URL) ||
                    key.equals(ApplicationActivity.FLOCKTORY_LINK_URL)) {
                intent.putExtra(ApplicationActivity.FLOCKTORY_LINK_URL, value);
                if (remoteMessage.getNotification() != null && remoteMessage.getNotification().getTitle() != null) {
                    intent.putExtra(ApplicationActivity.HMS_PUSH_TITLE, remoteMessage.getNotification().getTitle());
                }
            }
        }

        PendingIntent pendingIntent = PendingIntent.getActivity(this, 0, intent, PendingIntent.FLAG_IMMUTABLE);

        RemoteMessage.Notification notification = remoteMessage.getNotification();
        NotificationCompat.Builder builder = new NotificationCompat.Builder(this, getString(R.string.channel_id))
                .setSmallIcon(R.drawable.ic_launcher_notification)
                .setColor(getResources().getColor(R.color.colorNotification))
                .setContentTitle(notification == null ? "" : notification.getTitle())
                .setContentText(notification == null ? "" : notification.getBody())
                .setPriority(NotificationCompat.PRIORITY_DEFAULT)
                .setContentIntent(pendingIntent)
                .setAutoCancel(true);

        NotificationManagerCompat notificationManager = NotificationManagerCompat.from(this);
        notificationManager.notify(new Random(UUID.randomUUID().getLeastSignificantBits()).nextInt(), builder.build());

在清单中：

<service
            android:name="ru.svyaznoy.shop.domain.FCMService"
            android:exported="false">
            <intent-filter>
                <action android:name="com.google.firebase.MESSAGING_EVENT" />
            </intent-filter>
        </service>

实现 “com.google.firebase：firebase-messaging：22.0.0”

minSdkVersion 24 targetSdkVersion 30

我只是无法弄清楚这个代码有什么问题 - 我传递显式的意向，并设置了所有必填字段。我的头在吹 - 这个更新非常重要。有没有人有类似的问题？

答案 1

多亏@kkazakov问题解决了。Library com.huawei.hms：push 包含隐式 PendingIntents 的不安全用法。Google 批准了在没有此库的情况下构建的更新。

对我来说，是时候创建gms和hms构建风格了，以避免将来出现华为的问题。

答案 2

示例中的 Intent 是具有给定操作的显式意图。因此，这不应该是更新问题的原因。

我面临着同样的安全问题，我认为导致此问题的原因是依赖关系。因为我的应用中只有显式的待处理意向。

我不认为谷歌会因为他们自己的库中的漏洞而阻止更新，所以我目前正在研究华为SDK的依赖关系。这只是一个猜测，但没有来自Play商店的更多信息猜测是我们唯一能做的。