Oprava chyby zabezpečení proti útokům metodou File-based XSS

Tyto informace jsou určeny vývojářům aplikací, které nejsou zabezpečené vůči útokům metodou File-based Cross-Site Scripting (skriptování mezi weby prostřednictvím souborů).

K čemu dochází?

Minimálně jedna vaše aplikace obsahuje chybu zabezpečení proti útokům metodou File-based Cross-Site Scripting (skriptování mezi weby prostřednictvím souborů), kterou je nutné opravit. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Objekty WebView s objekty WebSetting, které nastavují setAllowFileAccessFromFileURLs nebo setAllowUniversalAccessFromFileURLs na hodnotu true, nesmějí načítat žádný nedůvěryhodný webový obsah. Týká se to i obsahu z důvěryhodných domén načítaného přes HTTP. Škodlivý webový obsah nebo sítě mohou zobrazení WebView pomocí vložených skriptů přesměrovat na škodlivý místní soubor a skriptováním mezi weby získat přístup k soukromým místním souborům nebo k souborům cookie.

Této chybě zabezpečení je třeba zabránit jedním z následujících způsobů:

  1. Zajistěte, aby zobrazení WebView neměla nebezpečné nastavení.
  2. Zajistěte, aby zobrazení WebView nemohla načítat místní soubory nebo aby nemohla spouštět JavaScript.
  3. Zajistěte, aby zobrazení WebView s nebezpečným nastavením nenačítala nedůvěryhodný webový obsah.

1. Zajištění, aby zobrazení WebView neměla nebezpečné nastavení

Aktualizujte hodnotu android:targetSdkVersionmanifestu nejméně na 16, aby se pro WebView používalo bezpečné výchozí nastavení. Případně volejte metody setAllowFileAccessFromFileURLs(false)setAllowUniversalAccessFromFileURLs(false), aby bylo zajištěno, že příslušné zobrazení WebView bude bezpečné.

2. Zajištění, aby kódy WebView nenačítaly místní soubory a nespouštěly JavaScript

Voláním metody setAllowFileAccess(false) zobrazením WebView s nebezpečným nastavením zabraňte v načítání místních souborů nebo jim voláním metody setJavaScriptEnabled(false) zabraňte ve spouštění javascriptového kódu.

3. Zajištění, aby zobrazení WebView s nebezpečným nastavením nenačítala nedůvěryhodný webový obsah

Pokud je nutné pro zobrazení WebView aktivovat nebezpečná nastavení, je třeba zajistit, aby nenačítalo nedůvěryhodný webový obsah, včetně obsahu načítaného přes HTTP. Můžete nastavit parametr android:usesCleartextTraffic=false nebo konfiguraci síťového zabezpečení, která zakáže provoz přes HTTP. (Provedete to v manifestu.) Případně můžete zajistit, aby zobrazení WebView s nebezpečným nastavením nenačítala adresy URL se schématem HTTP.

Zajistěte také, aby zobrazení WebView s nebezpečným nastavením nenačítala adresy URL získané z nedůvěryhodných zdrojů.

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.