Ši informacija skirta programos (-ų), kurioje (-iose) yra skirtingų programų scenarijų pažeidimas, kūrėjams.
Kas vyksta
Mažiausiai vienoje programoje yra žiniatinklio rodinio skirtingų programų scenarijų problema, dėl kurios kenkėjiškos programos gali vogti naudotojo slapukus ir kitus duomenis. Žr. pranešimą sistemoje „Play Console“. Praėjus „Play Console“ nurodytiems terminams, programos, kuriose yra nepataisytų saugos pažeidimų, gali būti pašalintos iš „Google Play“.
Būtini veiksmai
- Prisijunkite prie „Play Console“ ir nuėję į skiltį „Įspėjimai“ peržiūrėkite, kurios programos yra paveiktos ir iki kada reikia išspręsti šias problemas.
- Atnaujinkite paveiktas programas ir pataisykite pažeidimą.
- Pateikite atnaujintas paveiktų programų versijas.
Šiuo laikotarpiu naujos programos ar programos naujinio būsena bus „Laukiama paskelbimo“, kol užklausa bus peržiūrėta. Jei programa nebuvo tinkamai atnaujinta, vis tiek matysite įspėjimą.
Papildoma išsami informacija
Žiniatinklio rodinius, kurie įgalina „JavaScript“ ir įkelia duomenis, nuskaitytus iš nepatikimų elementų „Intents“, kenkėjiškos programų gali paveikti taip, kad „JavaScript“ kodas bus panaudotas nesaugiame kontekste. Apsisaugoti nuo šio pažeidimo rekomenduojame vienu iš nurodytų būdų.
1 parinktis: įsitikinkite, kad paveikti elementai „Activity“ nėra eksportuojami
Raskite visus elementus „Activity“ su paveiktais žiniatinklio rodiniais. Jei šiems elementams „Activity“ nereikalingi elementai „Intents“ iš kitų programų, savo apraše „Manifest“ galite nustatyti elementus „Activity“ kaip „android:exported=false“. Taip bus užtikrinta, kad kenkėjiškos programos negalėtų siųsti žalingų įvesčių jokiems elementų „Activity“ žiniatinklio rodiniams.
2 parinktis: apsaugokite eksportuotų veiklų žiniatinklio rodinius
Jei norite elementą „Activity“ su paveiktu žiniatinklio rodiniu nustatyti kaip eksportuotą, rekomenduojame atlikti toliau nurodytus pakeitimus.
- Apsaugokite „evaluateJavascript“ ir „loadUrl“ iškvietimus
Užtikrinkite, kad „evaluateJavascript“ parametrai yra visada patikimi. Jei iškviečiamas „evaluateJavascript“ naudojant neapvalytą įvestį iš nepatikimų elementų „Intents“, atakos vykdytojai gali vykdyti žalingus scenarijus paveiktuose žiniatinklio rodiniuose. Panašiai, iškviečiant „loadUrl“ naudojant neapvalytą įvestį, apimančią „javascript:“ schemos URI, atakos vykdytojai gali vykdyti žalingus scenarijus.
- Venkite įkelti nesaugius failus
Užtikrinkite, kad paveikti žiniatinklio rodiniai negalėtų įkelti slapukų duomenų bazių. Žiniatinklio rodiniams, kurie įkelia neapvalytų file:// URL iš nepatikimų elementų „Intents“, kenkėjiškos programos gali pakenkti dviem veiksmais. Pirmas veiksmas: kenkėjiškas tinklalapis gali įrašyti žymų <script> į slapukų duomenų bazę. Antrasis veiksmas: šios pakeistos slapukų duomenų bazės failas gali būti įkeltas, jei kenkėjiška programa siunčia elementą „Intent“ su file:// URL, nukreipiančiu į jūsų žiniatinklio rodinio slapukų duomenų bazę, arba jei pats kenkėjiškas tinklalapis peradresuoja jūsų žiniatinklio rodinį į failo URL. Slapukų duomenų bazėje saugomas kenkėjiškas scenarijus <script> bus įkeltas ir vykdomas, todėl gali būti pavogta seanso informacija.
Užtikrinti, kad paveikti žiniatinklio rodiniai negalėtų įkelti žiniatinklio rodinio slapukų duomenų bazės, galite trimis būdais.
- Išjunkite visą prieigą prie failų.
- Įsitikinkite, kad žiniatinklio rodinys įkelia tik file:// URL, ir užtikrinkite, kad visi įkeltų file:// URL nukreiptų į saugius failus. Atminkite, kad atakos vykdytojas gali naudoti „symbolic link“ (simbolinę nuorodą), kad apeitų URL kelio patikrinimus. Kad išvengtumėte tokios atakos, prieš įkeldami būtinai patikrinkite ne tik URL kelią, bet ir įsitikinkite, kad „canonical path“ (kanoninio kelio) nėra jokio nepatikimo file:// URL.
- Jei norite leisti http:// URL ir file:// URL, įdiekite file:// URL patvirtinimą naudodami „shouldOverrideUrlLoading“ ir „shouldInterceptRequest“ doroklėje „WebViewClient“. Taip bus užtikrinta, kad visi į žiniatinklio rodinį įkelti URL yra patvirtinami, ne tik URL, tiesiogiai pateikti pagal funkcijos kreipinį „loadUrl()“.
Esame pasirengę padėti
Jei kyla su pažeidimais susijusių techninių klausimų, galite juos paskelbti „Stack Overflow“ naudodami žymą „android-security“. Jei reikia daugiau informacijos apie veiksmus, kuriuos turite atlikti, kad išspręstumėte šią problemą, galite susisiekti su mūsų kūrėjų palaikymo komanda.