Denne informasjonen er beregnet på utviklere som har apper som inneholder et sikkerhetsproblem med innsetting via JavaScript-grensesnittet.
Hva skjer?
Les varselet i Play Console. Alle apper som inneholder uløste sikkerhetsproblemer, kan bli fjernet fra Google Play etter tidsfristene som vises i Play Console.
Handling kreves
- Logg på Play Console og gå til Varsler-delen for å se hvilke apper som er berørt, samt tidsfristene for å løse de aktuelle problemene.
- Oppdater de berørte appene, og løs sikkerhetsproblemet.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis appene godkjennes etter gjennomgangen og publiseres, trenger du ikke gjøre noe mer. Hvis de ikke godkjennes, blir ikke de nye appversjonene publisert, og du mottar et varsel via e-post.
Flere detaljer
WebViews som eksponerer objekter på appnivå for JavaScript-kode via addJavascriptInterface og laster inn nettinnhold som ikke er klarert, er sårbare for innsetting via JavaScript-grensesnittet. Det uklarerte innholdet kan kjøre en hvilken som helst av de eksponerte objektenes metoder med @JavascriptInterface, noe som kan føre til datalekkasje, ødelagte data eller til og med kjøring av vilkårlig kode.
Vi anbefaler at du forhindrer dette sikkerhetsproblemet på én av disse måtene:
Alternativ 1: Sørg for at WebViews ikke legger til objekter i JavaScript-grensesnittet
Sørg for at ingen objekter er lagt til i JavaScript-grensesnittet for WebViews som laster inn usikkert nettinnhold. Du kan gjøre dette på to måter:
Sørg for at ingen objekter noensinne blir lagt til i JavaScript-grensesnittet via kall til addJavascriptInterface.
-
Fjern objekter fra JavaScript-grensesnittet i shouldInterceptRequest via removeJavascriptInterface før innhold som ikke er klarert, lastes inn av WebView.
Alternativ 2: Sørg for at WebViews ikke laster inn usikkert nettinnhold
Hvis appen din må eksponere objekter for JavaScript-grensesnittet til et WebView, bør du sørge for at WebView ikke laster inn nettinnhold via ukrypterte tilkoblinger. Du kan sette android:usesCleartextTraffic til «false» (usann) i Manifest eller angi en Network Security Config som ikke tillater HTTP-trafikk. Alternativt kan du sikre at WebView (hvis berørt) ikke laster inn nettadresser med HTTP-ordninger via loadUrl.
Sørg for at WebViews med JavaScript-grensesnitt ikke laster inn ukontrollerte nettadresser som er hentet fra usikre kilder (for eksempel nettadresser som er hentet fra usikre intensjoner).
Vi er her for å hjelpe deg
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.