Maklumat ini khusus untuk pembangun yang mempunyai apl yang mengandungi Kerentanan Antara Muka JavaScript Sensitif.
Perkara yang berlaku
Sila rujuk notis dalam Play Console.
Tindakan diperlukan
- Buka pemberitahuan e-mel Google Play yang dihantar ke alamat e-mel pemilik akaun untuk melihat apl yang terjejas dan tarikh akhir untuk menyelesaikan masalah ini.
- Kemas kini apl anda yang terjejas dan betulkan kerentanan.
- Serahkan versi yang telah dikemas kini bagi apl anda yang terjejas.
Selepas penyerahan semula, apl anda akan disemak sekali lagi. Proses ini mungkin mengambil masa beberapa jam. Jika apl anda lulus semakan dan berjaya diterbitkan, maka tiada tindakan lanjut diperlukan. Jika apl anda gagal semakan, maka versi apl yang baharu tidak akan diterbitkan dan anda akan menerima pemberitahuan e-mel.
Butiran tambahan
Menurut Dasar Penyalahgunaan Peranti dan Rangkaian, "Apl atau kod pihak ketiga (contohnya, SDK) yang memuatkan JavaScript pada masa jalanan tidak boleh membenarkan kemungkinan pelanggaran Dasar Pembangun Play."
Dalam artikel ini, kami merujuk sebarang objek yang mendedahkan fungsi kepada WebView melalui kaedah addJavascriptInterface WebView sebagai antara muka JavaScript seperti yang dijelaskan dalam Blog Google Developers, Membina apl web dalam WebView.
Kelas kerentanan ini membenarkan kemungkinan pelanggaran Data pengguna dan Perisian hasad berlaku melalui antara muka JavaScript. Bergantung pada antara muka yang terdedah, pelanggaran ini boleh menyebabkan pengumpulan dan penyusupan keluar data yang tidak dijangka serta aplikasi berkemungkinan bahaya tanpa pengetahuan pembangun apl atau SDK.
Kami mengesyorkan supaya anda mencegah kerentanan ini menggunakan salah satu cara yang berikut:
Pilihan 1: Pastikan Paparan Web tidak menambahkan Objek pada antara muka JavaScript
Pastikan tiada objek ditambah pada antara muka JavaScript bagi mana-mana Paparan Web yang memuatkan kandungan web yang tidak dipercayai. Anda boleh melakukannya dengan dua cara ini:
- Pastikan tiada objek ditambah pada antara muka JavaScript melalui panggilan kepada addJavascriptInterface.
-
Alih keluar objek daripada antara muka JavaScript dalam shouldInterceptRequest melalui removeJavascriptInterface sebelum kandungan yang tidak dipercayai dimuatkan oleh WebView.
Pilihan 2: Pastikan fungsi sensitif tidak terdedah melalui antara muka JavaScript
Pastikan sebarang fungsi sensitif (seperti panggilan API Android yang memerlukan kebenaran) tidak ditambahkan pada antara muka JavaScript. Tindakan ini termasuk tidak mengumpulkan data sensitif seperti maklumat tentang pengguna/peranti atau mendedahkan API seperti kebolehaksesan atau pemesejan SMS. Terdapat beberapa cara untuk menyelesaikan kerentanan anda dengan cara ini:
- Melaksanakan semula fungsi yang memerlukan kebenaran sensitif atau mengumpulkan maklumat sensitif agar fungsi tersebut dipanggil daripada kod yang dipakejkan dalam aplikasi. Pastikan pendedahan yang jelas diberikan kepada pengguna.
- Alih keluar sebarang fungsi yang memberikan akses kepada fungsi sensitif atau data pengguna yang boleh diakses daripada antara muka.
Pilihan 3: Pastikan Paparan Web anda tidak mendedahkan fungsi sensitif kepada kandungan yang tidak dipercayai
Jika Paparan Web anda mengandungi fungsi sensitif, Paparan Web tersebut mungkin tidak memuatkan JavaScript rambang daripada sumber yang tidak diketahui dan mesti memberikan pendedahan jelas bagi data atau fungsi yang digunakan. Pastikan hanya URL yang dinilai secara ketat dan kandungan yang dimiliki oleh pembangun apl dimuatkan ke dalam Paparan Web.
Sekiranya kerentanan tersebut tidak dipulihkan, apl akan dikuatkuasakan untuk kemungkinan pelanggaran dasar Play.
Kami bersedia membantu anda
Jika anda telah menyemak dasar dan merasakan keputusan kami mungkin salah, sila hubungi pasukan sokongan dasar kami. Kami akan menghubungi anda semula dalam tempoh 2 hari perniagaan.
Terima kasih atas sokongan anda yang berterusan untuk menjadikan Google Play satu pengalaman yang positif kepada pembangun dan pengguna.