Denna information är avsedd för utvecklare med appar som är sårbara för filbaserad webbkodinjektion.
Vad det är som händer
En eller flera av dina appar har en säkerhetsbrist som gör dem sårbara för filbaserad webbkodinjektion. Den här säkerhetsbristen måste åtgärdas. Läs mer i meddelandet i Play Console. Alla appar där säkerhetsbristen inte har åtgärdats tas bort från Google Play efter det datum som anges i Play Console.
Åtgärd som krävs
- Logga in på Play Console och öppna avsnittet Varningar. Där ser du vilka appar som berörs av problemet och vilket datum det måste vara åtgärdat.
- Uppdatera de berörda apparna och åtgärda säkerhetsbristen.
- Skicka in uppdaterade versioner av de berörda apparna.
När du skickar in den nya appversionen granskas den på nytt. Granskningen kan ta flera timmar. Om appen blir godkänd vid granskningen och publiceras utan problem behöver du inte göra något mer. Om appen inte blir godkänd vid granskningen kommer den nya appversionen inte att publiceras och du meddelas via e-post.
Ytterligare information
WebViews med WebSettings som ställer in antingen setAllowFileAccessFromFileURLs eller setAllowUniversalAccessFromFileURLs på sant får inte läsa in opålitligt webbinnehåll. Sådant webbinnehåll inkluderar innehåll från betrodda domäner som läses in via HTTP. Skadligt webbinnehåll eller skadliga nätverk kan injicera skript som omdirigerar WebView till en skadlig lokal fil och startar en attack med webbkodinjektion för att få åtkomst till privata lokala filer eller cookies.
Du förhindrar sårbarheten på något av följande sätt:
- Kontrollera att inga farliga inställningar har angetts för WebViews.
- Kontrollera att det inte går att läsa in lokala filer eller köra JavaScript med WebViews.
- Kontrollera att inget opålitligt innehåll läses in av WebViews med farliga inställningar.
1. Kontrollera att inga farliga inställningar har angetts för WebViews
Uppdatera android:targetSdkVersion i manifestet till 16:e versionen eller senare så att du kan använda säkra standardinställningar för WebViews. Anropa annars setAllowFileAccessFromFileURLs(false) och setAllowUniversalAccessFromFileURLs(false) för att kontrollera att deras WebViews är säkra.
2. Kontrollera att det inte går att läsa in lokala filer eller köra JavaScript med WebViews
Anropa setAllowFileAccess(false) för att förhindra att lokala filer läses in av WebViews med farliga inställningar eller anropa setJavaScriptEnabled(false) för att förhindra att JavaScript-kod körs av WebViews med farliga inställningar.
3. Kontrollera att inget opålitligt innehåll läses in av WebViews med farliga inställningar
Om dessa farliga inställningar måste vara aktiverade för en WebView måste du kontrollera att opålitligt innehåll inte läses in. Detta inbegriper webbinnehåll som läses in via HTTP. Du kan ställa in android:usesCleartextTraffic=false eller ange en Network Security Config som tillåter HTTP-trafik i ditt manifest. Du kan även förhindra att webbadresser med HTTP-scheman läses in av WebViews med farliga inställningar.
Kontrollera även att inga webbadresser från obetrodda källor läses in av WebViews med farliga inställningar.
Vi hjälper dig gärna
Om du har tekniska frågor som handlar om säkerhetsbristen kan du ställa dem på Stack Overflow. Använd taggen android-security. Om du behöver mer information om hur du åtgärdar problemet kontaktar du vårt supportteam för utvecklare.