Ces informations sont destinées aux développeurs dont les applications sont vulnérables aux failles File-based Cross-Site Scripting.
Que se passe-t-il ?
Une ou plusieurs de vos applications présentent une faille File-based Cross-Site Scripting (XSS) qui doit être corrigée. Veuillez consulter la notification dans la console Play. À l'issue des délais affichés dans votre console Play, les applications comportant des failles de sécurité non corrigées pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez les failles.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
Les classes WebView avec l'objet WebSettings qui définissent setAllowFileAccessFromFileURLs ou setAllowUniversalAccessFromFileURLs sur "True" ne doivent pas charger de contenu Web non fiable. Cela inclut le contenu de domaines approuvés chargé en HTTP. Les réseaux ou le contenu Web malveillants peuvent injecter des scripts pour rediriger la classe WebView vers un fichier local malveillant et lancer une attaque Cross-Site Scripting pour accéder à des fichiers locaux privés ou à des cookies.
Vous devez corriger cette faille en appliquant l'une des méthodes suivantes :
- Assurez-vous que les classes WebView ne possèdent pas de paramètres dangereux.
- Assurez-vous que les classes WebView ne peuvent pas charger de fichiers locaux ni exécuter JavaScript.
- Assurez-vous que les classes WebView aux paramètres dangereux ne chargent pas de contenu Web non fiable.
1. S'assurer que les classes WebView ne possèdent pas de paramètres dangereux
Mettez à jour l'attribut android:targetSdkVersion dans votre fichier manifeste afin d'obtenir au moins le niveau 16 et de pouvoir utiliser les paramètres par défaut pour WebView. Sinon, appelez setAllowFileAccessFromFileURLs(false) et setAllowUniversalAccessFromFileURLs(false) pour vous assurer que leurs classes WebView sont sécurisées.
2. S'assurer que les classes WebView ne peuvent pas charger de fichiers locaux ni exécuter JavaScript
Appelez setAllowFileAccess(false) pour empêcher les classes WebView aux paramètres dangereux de charger des fichiers locaux, ou appelez setJavaScriptEnabled(false) pour éviter qu'elles exécutent du code JavaScript.
3. S'assurer que les classes WebView aux paramètres dangereux ne chargent pas de contenu Web non fiable
Si une classe WebView doit activer ces paramètres dangereux, vous devez vous assurer qu'elle ne charge pas de contenu Web non fiable. Cela inclut le contenu Web chargé en HTTP. Vous pouvez configurer android:usesCleartextTraffic=false ou définir une fonctionnalité relative à la configuration de la sécurité réseau qui empêche le trafic HTTP dans votre fichier manifeste. Sinon, vous pouvez vérifier que les classes WebView aux paramètres dangereux ne chargent pas d'URL avec des schémas HTTP.
Vous devez également vous assurer que les classes WebView aux paramètres dangereux ne chargent pas d'URL obtenues à partir de sources non fiables.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.