Remedierea problemelor privind vulnerabilitatea interfeței JavaScript sensibile

Aceste informații le sunt destinate dezvoltatorilor ale căror aplicații conțin o vulnerabilitate a interfeței JavaScript sensibile.

Ce se întâmplă

Consultă notificarea din Play Console.

După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.

Acțiune necesară

  1. Deschide notificarea prin e-mail Google Play trimisă pe adresa de e-mail a proprietarului contului, pentru a vedea ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
  2. Actualizează aplicațiile afectate și remediați vulnerabilitatea.
  3. Trimite versiunile actualizate ale aplicațiilor afectate.

După retrimiterea solicitării, aplicația va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea ta. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și vei primi o notificare prin e-mail.

Detalii suplimentare

Conform Politicii privind abuzul de rețele și dispozitive, aplicațiile sau codul terță parte (de exemplu, SDK-urile) cu JavaScript încărcat la momentul rulării nu trebuie să permită încălcări potențiale ale politicilor Google Play privind dezvoltatorii.

În acest articol, ne referim la orice obiect care expune funcționalitatea unui element WebView prin metoda addJavascriptInterface a unui WebView ca interfață JavaScript, așa cum este descris pe Blogul Google Developers despre crearea aplicațiilor web în WebView.

Această clasă de vulnerabilități permite posibile potențiale încălcări ale datelor despre utilizatori și ale programelor malware prin intermediul interfețelor JavaScript. În funcție de interfețele expuse, acest lucru poate duce la colectarea neprevăzută și la extragerea de date împreună cu aplicații potențial dăunătoare fără cunoștința dezvoltatorului de aplicații sau SDK-uri.

Îți recomandăm să eviți această vulnerabilitate printr-unul dintre următoarele moduri.

Opțiunea 1: asigură-te că obiectele WebView nu adaugă obiecte la interfața JavaScript

Trebuie să te asiguri că nu există obiecte adăugate la interfața JavaScript a niciunui element WebView care să încarce conținut web nesigur. Poți face acest lucru în două moduri.

  1. Asigură-te că niciun obiect nu este adăugat vreodată la interfața JavaScript prin intermediul apelurilor către addJavascriptInterface.

  2. Elimină obiectele din interfața JavaScript în shouldInterceptRequest prin intermediul removeJavascriptInterface, înainte ca elementul WebView să încarce conținutul care nu prezintă încredere.

Opțiunea 2: asigură-te că funcțiile sensibile nu sunt expuse printr-o interfață JavaScript

Asigură-te că funcțiile sensibile (cum ar fi apelurile API Android care necesită permisiuni) nu sunt adăugate în interfețe JavaScript. Aici nu sunt incluse date sensibile, cum ar fi informații despre utilizator / dispozitiv sau expunerea unor API-uri, precum accesibilitatea sau trimiterea mesajelor SMS. Există mai multe opțiuni pentru a rezolva vulnerabilitatea în acest mod:

  1. reimplementează orice funcție care necesită permisiuni de accesare a informațiilor sensibile sau colectează informații sensibile, astfel încât să fie apelată din codul inclus în aplicație. Asigură-te că utilizatorii beneficiază de o divulgare vizibilă;
  2. elimină toate funcțiile care oferă acces la funcțiile sensibile sau la datele utilizatorilor care sunt accesibile din interfață.

Opțiunea 3: asigură-te că elementul WebView nu expune funcții sensibile la conținut care nu prezintă încredere

Dacă WebView conține funcții sensibile, s-ar putea să nu încarce cod JavaScript arbitrar din surse necunoscute și trebuie să ofere o informare vizibilă cu privire la datele sau la funcțiile folosite. Asigură-te că numai adresele URL cu domenii stricte și conținutul deținut de dezvoltatorul aplicației se încarcă în WebView.

Dacă vulnerabilitatea nu este remediată, aplicația va fi marcată ca având potențiale încălcări ale politicii Play.

Noi te putem ajuta

Dacă ai examinat politica și crezi că decizia noastră a fost greșită, contactează echipa de asistență privind politicile. Îți vom răspunde în termen de două zile lucrătoare.

Îți mulțumim pentru suportul continuu pentru a crea în Google Play o experiență pozitivă atât pentru dezvoltatori, cât și pentru consumatori.

 

A fost util?

Cum putem să îmbunătățim această pagină?

Aveți nevoie de mai mult ajutor?

Încercați pașii următori:

Contactați-ne Spuneți-ne mai multe și vă vom ajuta
true
Căutare
Șterge căutarea
Închide căutarea
Meniu principal
16865052191940518176
true
Căutaţi în Centrul de ajutor
true
true
true
true
true
92637
false
false
false
false