Deze informatie is bedoeld voor ontwikkelaars met een of meer apps die de kwetsbaarheid met JavaScript-interface-invoeging bevatten.
Wat er gebeurt
Bekijk de melding in uw Play Console. Na de deadlines die worden weergegeven in uw Play Console, worden apps met niet-opgeloste beveiligingsproblemen verwijderd uit Google Play.
Actie vereist
- Log in bij de Play Console en navigeer naar het gedeelte Meldingen om te zien welke apps het betreft en wat de deadlines zijn om deze problemen op te lossen.
- Update de betreffende apps en verhelp de kwetsbaarheid.
- Dien de geüpdatete versies van de betreffende apps in.
Nadat uw app opnieuw is ingediend, wordt deze opnieuw beoordeeld. Dit proces kan enkele uren duren. Als de app is goedgekeurd en is gepubliceerd, hoeft u verder geen actie te ondernemen. Als de app niet wordt goedgekeurd, wordt de nieuwe app-versie niet gepubliceerd en ontvangt u een e-mailmelding.
Aanvullende details
WebViews die objecten op app-niveau via addJavascriptInterface blootstellen aan JavaScript-code en niet-vertrouwde webcontent laden, zijn kwetsbaar voor JavaScript-interface-invoeging. De niet-vertrouwde content kan de methoden uitvoeren van blootgestelde objecten die zijn geannoteerd met @JavascriptInterface. Dit kan leiden tot een gegevenslek, gegevensbeschadiging of zelfs uitvoering van willekeurige code.
We raden u aan deze kwetsbaarheid op een van de volgende manieren te voorkomen:
Optie 1: Ervoor zorgen dat WebViews geen objecten aan de JavaScript-interface toevoegen
U moet ervoor zorgen dat WebViews die niet-vertrouwde webcontent laden, geen objecten toevoegen aan de JavaScript-interface. Dit kunt u op twee manieren doen:
Zorg ervoor dat er nooit objecten worden toegevoegd aan de JavaScript-interface via aanroepen aan addJavascriptInterface.
-
Verwijder objecten uit de JavaScript-interface in shouldInterceptRequest via removeJavascriptInterface voordat niet-vertrouwde content wordt geladen door de WebView.
Optie 2: Ervoor zorgen dat WebViews geen niet-vertrouwde webcontent laden
Als uw app objecten moet blootstellen aan de JavaScript-interface van een WebView, zorgt u ervoor dat de WebView alleen webcontent laadt via een versleutelde verbinding. U kunt android:usesCleartextTraffic instellen op 'false' in uw Manifest of u kunt een Network Security Config instellen om HTTP-verkeer te verbieden. U kunt ook zorgen dat alle betrokken WebViews geen URL's met HTTP-schema's laden via loadUrl.
Zorg ervoor dat WebViews met JavaScript-interfaces geen niet-gecontroleerde URL's laden die zijn verkregen via niet-vertrouwde bronnen (bijvoorbeeld URL's die zijn verkregen via niet-vertrouwde intenties).
We zijn er om u te helpen
Als u technische vragen over de kwetsbaarheid heeft, kunt u een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons ondersteuningsteam voor ontwikkelaars voor meer informatie over de stappen die u moet uitvoeren om dit probleem op te lossen.