Ukrepanje pri ranljivosti za vstavljanje vmesnika JavaScripta

Te informacije so namenjene razvijalcem aplikacij, ki vsebujejo ranljivost za vstavljanje vmesnika JavaScripta.

Kaj se dogaja?

Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo odstranjene iz Googla Play.

Potrebno ukrepanje

  1. Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
  2. Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
  3. Pošljite posodobljene različice aplikacij, ki jih to zadeva.

Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.

Dodatne informacije

Mehanizmi WebView, ki izpostavljajo predmete na ravni aplikacij kodi JavaScripta prek metode addJavascriptInterface in nalagajo zaupanja nevredno spletno vsebino, so ranljivi za vstavljanje vmesnika JavaScripta. Vsebina, ki ni zaupanja vredna, lahko izvede katero koli metodo izpostavljenih objektov, označeno z zapisom @JavascriptInterface, kar privede do uhajanja podatkov, poškodb podatkov ali celo izvajanja poljubne kode.

Priporočamo, da to ranljivost preprečite na enega od teh načinov:

1. možnost: zagotovite, da mehanizmi WebView ne dodajajo predmetov v vmesnik JavaScripta

Zagotovite, da ni v vmesnik JavaScripta katerega koli mehanizma WebView, ki nalaga zaupanja nevredno spletno vsebino, dodan noben predmet. To lahko storite na dva načina:

 

Zagotovite, da ni prek klicev metodi addJavascriptInterface v vmesnik JavaScripta nikoli dodan noben predmet.

  1. Odstranite predmete iz vmesnika JavaScripta v metodi shouldInterceptRequest prek metode removeJavascriptInterface, preden mehanizem WebView naloži zaupanja nevredno vsebino.

2. možnost: zagotovite, da mehanizmi WebView ne nalagajo zaupanja nevredne spletne vsebine

Če aplikacija mora izpostavljati predmete vmesniku JavaScripta mehanizma WebView, zagotovite, da mehanizem WebView ne nalaga spletne vsebine prek nešifrirane povezave. Vrednost android:usesCleartextTraffic lahko v manifestu nastavite na »false« ali nastavite Network Security Config (konfiguracijo varnosti omrežja), ki onemogoča promet HTTP. Zagotovite lahko tudi, da mehanizmi WebView, na katere to vpliva, ne nalagajo URL-jev s shemami protokola HTTP prek metode loadUrl.


Zagotovite, da mehanizmi WebView z vmesniki JavaScripta ne nalagajo nepreverjenih URL-jev, pridobljenih iz zaupanja nevrednih virov (na primer URL-jev, pridobljenih iz zaupanja nevrednih namer).

Tu smo, da vam pomagamo

Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.

false
Glavni meni
5603871225094539406
true
Iskanje v centru za pomoč
true
true
true
true
true
5016068
false
false