Die folgenden Informationen richten sich an Entwickler von Apps, die anfällig für File-based Cross-Site Scripting sind.
Aktuelle Informationen
Eine oder mehrere Ihrer Apps enthalten eine Sicherheitslücke beim File-based Cross-Site Scripting, die behoben werden muss. Weitere Informationen dazu erhalten Sie in der entsprechenden Benachrichtigung in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wird, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
WebViews mit WebSettings, bei denen entweder setAllowFileAccessFromFileURLs oder setAllowUniversalAccessFromFileURLs auf "true" gestellt ist, dürfen keine nicht vertrauenswürdigen Webinhalte laden. Dazu zählen auch Inhalte von vertrauenswürdigen Domains, die über HTTP geladen werden. Schädliche Webinhalte oder Netzwerke können Skripts einschleusen, die das WebView zu einer schädlichen lokalen Datei umleiten und einen Cross-Site-Scripting-Angriff durchführen, um Zugriff auf private lokale Dateien oder Cookies zu erhalten.
Sie sollten diese Sicherheitslücke auf eine der folgenden Arten vermeiden:
- Sorgen Sie dafür, dass WebViews keine gefährlichen Einstellungen haben.
- Sorgen Sie dafür, dass WebViews keine lokalen Dateien laden oder JavaScript ausführen können.
- Sorgen Sie dafür, dass WebViews mit gefährlichen Einstellungen keine Webinhalte laden, die nicht vertrauenswürdig sind.
1. Sicherstellen, dass WebViews keine gefährlichen Einstellungen haben
Aktualisieren Sie das Attribut android:targetSdkVersion in Ihrem Manifest auf mindestens 16, um sichere Standardeinstellungen für WebView zu verwenden. Rufen Sie andernfalls setAllowFileAccessFromFileURLs(false) und setAllowUniversalAccessFromFileURLs(false) auf, um zu prüfen, ob deren WebViews sicher sind.
2. Sicherstellen, dass WebViews keine lokalen Dateien laden oder JavaScript ausführen können
Rufen Sie setAllowFileAccess(false) auf, um zu verhindern, dass WebViews mit gefährlichen Einstellungen lokale Dateien laden. Alternativ können Sie auch setJavaScriptEnabled(false) aufrufen, um zu verhindern, dass WebViews mit gefährlichen Einstellungen JavaScript-Code ausführen.
3 Sicherstellen, dass WebViews mit gefährlichen Einstellungen keine Webinhalte laden, die nicht vertrauenswürdig sind
Wenn ein WebView diese gefährlichen Einstellungen aktivieren muss, sollten Sie darauf achten, dass keine Webinhalte geladen werden, die nicht vertrauenswürdig sind. Dazu zählen auch Webinhalte, die über HTTP geladen werden. Sie können android:usesCleartextTraffic=false oder eine Netzwerksicherheitskonfiguration festlegen, die HTTP-Traffic in Ihrem Manifest nicht gestatten. Alternativ können Sie dafür sorgen, dass WebViews mit gefährlichen Einstellungen keine URLs mit HTTP-Schemata laden.
Sie sollten außerdem darauf achten, dass WebViews mit gefährlichen Einstellungen keine URLs laden, die von nicht vertrauenswürdigen Quellen stammen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.