Informasi ini ditujukan bagi developer yang memiliki aplikasi yang rentan terhadap Cross-Site Scripting (XSS) Berbasis File.
Yang terjadi
Satu atau beberapa aplikasi Anda memiliki kerentanan Cross-Site Scripting Berbasis File yang harus diperbaiki. Lihat pemberitahuan di Play Console. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang tidak diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
WebViews dengan WebSettings yang menetapkan setAllowFileAccessFromFileURLs atau setAllowUniversalAccessFromFileURLs ke true tidak boleh memuat konten web yang tidak dipercaya. Ini termasuk konten dari domain dipercaya yang dimuat melalui HTTP. Konten web atau jaringan berbahaya dapat melakukan injeksi skrip untuk mengalihkan WebView ke file lokal berbahaya dan meluncurkan serangan Cross-Site Scripting untuk mengakses cookie atau file lokal pribadi.
Anda harus mencegah kerentanan ini dengan salah satu cara berikut:
- Pastikan bahwa WebView tidak memiliki setelan berbahaya
- Pastikan bahwa WebView tidak dapat memuat file lokal atau menjalankan JavaScript
- Pastikan bahwa WebView yang berisi setelan berbahaya tidak memuat konten web yang tidak dipercaya
1. Memastikan bahwa WebView tidak memiliki setelan yang berbahaya
Update android:targetSdkVersion di Manifes Anda minimal ke versi 16 untuk menggunakan setelan default yang aman bagi WebView. Atau, panggil setAllowFileAccessFromFileURLs(false) dan setAllowUniversalAccessFromFileURLs(false) untuk memastikan bahwa WebView mereka aman.
2. Memastikan bahwa WebView tidak dapat memuat file lokal atau menjalankan JavaScript
Panggil setAllowFileAccess(false) untuk mencegah WebView dengan setelan berbahaya memuat file lokal, atau panggil setJavaScriptEnabled(false) untuk mencegah WebView yang berisi setelan berbahaya menjalankan kode JavaScript.
3. Memastikan bahwa WebView yang berisi setelan berbahaya tidak memuat konten web yang tidak tepercaya
Jika WebView perlu mengaktifkan setelan berbahaya ini, Anda harus memastikan bahwa WebView tidak memuat konten web yang tidak dipercaya. Ini termasuk konten web yang dimuat melalui HTTP. Anda dapat menetapkan android:usesCleartextTraffic=false atau menetapkan Konfigurasi Keamanan Jaringan yang mencegah traffic HTTP di Manifes Anda. Atau, Anda dapat memastikan bahwa WebView apa pun yang memiliki setelan berbahaya tidak memuat URL dengan skema HTTP.
Anda juga harus memastikan bahwa WebView yang berisi setelan berbahaya tidak memuat URL yang didapat dari sumber tidak dipercaya.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan untuk menyelesaikan masalah ini, Anda dapat menghubungi tim dukungan developer.