Ove su informacije namijenjene razvojnim programerima aplikacija koje su izložene opasnosti od unakrsnog skriptiranja na temelju datoteka.
Što se događa
Jedna ili više vaših aplikacija sadrže ranjivost unakrsno skriptiranje na temelju datoteka koju je potrebno ukloniti. Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli mogu se ukloniti s Google Playa.
Potrebna je radnja
- Prijavite se na Play Console i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Ažurirajte zahvaćene aplikacije i uklonite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
WebViews čiji WebSettings postavljaju setAllowFileAccessFromFileURLs ili setAllowUniversalAccessFromFileURLs na True ne smiju učitavati nikakav nepouzdani web-sadržaj. To uključuje sadržaj s pouzdanih domena koje se učitavaju putem HTTP-a. Zlonamjerni web-sadržaj ili mreže mogu umetnuti skripte za preusmjeravanje WebViewa na zlonamjernu lokalnu datoteku i pokrenuti napad unakrsnog skriptiranja radi pristupa privatnim lokalnim datotekama ili kolačićima.
Tu biste ranjivost trebali spriječiti na jedan od sljedećih načina:
- Onemogućite opasne postavke za WebViews.
- Onemogućite učitavanje lokalnih datoteka ili izvršavanje JavaScripta za WebViews.
- Onemogućite učitavanje nepouzdanog web-sadržaja za WebViews s opasnim postavkama.
1. Onemogućivanje opasnih postavki za WebView
Ažurirajte android:targetSdkVersion u svojem manifestu najmanje na vrijednost 16 kako bi se upotrebljavale sigurne zadane postavke za WebView. U suprotnom pozovite setAllowFileAccessFromFileURLs(false) i setAllowUniversalAccessFromFileURLs(false) kako bi WebView bio siguran.
2. Onemogućivanje učitavanja lokalnih datoteka ili izvršavanja JavaScripta za WebView
Pozovite setAllowFileAccess(false) kako biste spriječili da WebView s opasnim postavkama učitava lokalne datoteke ili pozovite setJavaScriptEnabled(false) kako biste spriječili WebView s opasnim postavkama da izvršava kôd JavaScripta.
3. Onemogućivanje učitavanja nepouzdanog web-sadržaja za WebViews s opasnim postavkama
Ako se za WebView moraju omogućiti te opasne postavke, u tom slučaju pazite da se ne može učitavati nepouzdani web-sadržaj. To uključuje web-sadržaj koji se učitava putem HTTP-a. U manifestu možete postaviti android:usesCleartextTraffic=false ili postavite Konfiguraciju mrežne sigurnosti koja onemogućuje HTTP promet. A možete i potpuno onemogućiti to da WebView s opasnim postavkama učitava URL-ove s HTTP shemom.
Trebate onemogućiti i to da WebView s opasnim postavkama učitava URL-ove dobivene iz nepouzdanih izvora.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.