Dev Faq
3
votes

React Native (correction de la redirection d'intention): quel est l'équivalent de getCallingActivity () pour vérifier la redirection malveillante?

On nous a demandé d'apporter des modifications à notre application native React lorsqu'une version mise à jour était soumise à Google Play Store. Le problème mis en évidence était la vulnérabilité "Redirection d'intention". C'était du code hérité, mais néanmoins, mieux vaut tard que jamais.

L'une des méthodes suggérées dans le guide d' aide Google était la suivante:

Option 2: assurez-vous que l'intention extraite provient d'une source fiable.

Vous pouvez vérifier que l'activité d'origine peut être approuvée à l'aide de méthodes telles que> getCallingActivity. Par exemple:

 // check if the originating Activity is from trusted package
 if (getCallingActivity().getPackageName().equals(“known”)) {
   Intent intent = getIntent();
   // extract the nested Intent
   Intent forward = (Intent) intent.getParcelableExtra(“key”);
   // redirect the nested Intent
   startActivity(forward);
 }

Lors de la modification du code selon ces instructions, la construction a montré une erreur getCallingActivity que getCallingActivity n'était pas un symbole connu. Le code utilise déjà getCurrentActivity et getApplicationContext .

Quelle serait la meilleure façon pour nous de rectifier dans notre application React Native, cette vulnérabilité dans notre code Java natif?

J'apprécierai profondément votre soutien rapide ici. Merci!

8 commentaires

Même problème pour moi. Avez-vous trouvé la solution deetho?

Je suis confronté au même problème? :( recherche de solution

Avez-vous trouvé une solution @RameshKumar?

Non @SudeepKumar. J'ai rencontré ce problème pour l'utilisation du module natif rezorpay react. En attente de la nouvelle version de leur part.

Pas de chance pour l'instant, @SudeepKumar

@RameshKumar, partagez une mise à jour si vous obtenez un retour de Razorpay.

Quelqu'un l'a-t-il réparé? Je suis aussi coincé avec ce problème :(

J'ai le même problème, je ne sais pas quelle dépendance react-native dans package.json provoque cela. Existe-t-il un moyen de le savoir? Je n'utilise pas RazorPay. Merci!

3 Réponses :

0
votes

RazorPay a publié une nouvelle version. Veuillez suivre le lien ci-dessous pour plus d'informations.

https://github.com/razorpay/react-native-razorpay/issues/291

1 commentaires

Va vérifier et revenir. Merci pour la mise à jour.

-1
votes

Pouvez-vous essayer de lire ce document? https://static.googleusercontent.com/media/www.google.com/en//about/appsecurity/play-rewards/Android_app_vulnerability_classes.pdf

0 commentaires
0
votes

Nous avons dû mettre à niveau notre dépendance react-native-share . Dans les versions, il mentionne quelques correctifs de sécurité il y a quelque temps. Une fois que nous sommes passés à 4.x, nous avons cessé de recevoir des e-mails de Google concernant la vulnérabilité de sécurité.

0 commentaires

Articles qui pourrait vous intéresser :

MotionLayout empêche ClickListener sur toutes les vues
Modifier l'indicateur de texte n'est pas visible dans l'aperçu de la conception du studio Android, mais est visible sur l'émulateur lorsque l'application s'exécute
Après la migration vers AndroidX, erreur de gonflage de la classe android.support.design.widget.AppBarLayout
Code de réponse 403 inattendu lors de la récupération des données des API