Bu bilgi, JavaScript Arayüz Ekleme Güvenlik Açığını içeren uygulamaların geliştiricileri için hazırlanmıştır.
Neler oluyor?
Lütfen Play Console'unuzdaki bildirime bakın. Play Console hesabınızda gösterilen son tarihlerden sonra, düzeltilmemiş güvenlik açığı içeren tüm uygulamalar Google Play'den kaldırılacaktır.
Yapılması gerekenler
- Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
- Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.
Ek ayrıntılar
addJavascriptInterface aracılığıyla uygulama düzeyindeki nesneleri JavaScript koduna maruz bırakan ve güvenilir olmayan web içeriği yükleyen Web Görünümleri'nin JavaScript Arayüz Eklemeye karşı güvenlik açığı bulunmaktadır. Güvenilir olmayan içerik, maruz bırakılan nesnelerin yöntemlerini @JavascriptInterface ek açıklamasıyla yürütebilir ve bu şekilde, veri sızıntısı, veri bozulması, hatta rastgele kod yürütmeye neden olabilir.
Bu güvenlik açığını aşağıdaki yöntemlerden birini kullanarak engellemenizi öneririz:
1. Seçenek: Web Görünümleri'nin JavaScript arayüzüne Nesne eklemediğinden emin olun
Güvenilir olmayan web içeriği yükleyen herhangi bir Web Görünümü'nün JavaScript arayüzüne hiçbir nesnenin eklenmediğinden emin olmalısınız. Bunu iki şekilde yapabilirsiniz:
addJavascriptInterface için yapılan çağrılar aracılığıyla JavaScript arayüzüne hiçbir zaman nesne eklenmediğinden emin olun.
-
Güvenilir olmayan içerik Web Görünümü tarafından yüklenmeden önce, JavaScript arayüzünde removeJavascriptInterface yoluyla shouldInterceptRequest içindeki nesneleri kaldırın.
2. Seçenek: Web Görünümleri'nin güvenilir olmayan web içeriği yüklemediğinden emin olun
Uygulamanızın nesneleri bir Web Görünümü'nün JavaScript arayüzüne maruz bırakması gerekiyorsa, Web Görünümü'nün şifrelenmemiş bir bağlantı üzerinden web içeriği yüklemediğinden emin olmalısınız. android:usesCleartextTraffic politikasını Manifest dosyanızda false (yanlış) değerine ayarlayabilir veya HTTP trafiğine izin vermeyen bir Network Security Config ayarı belirleyebilirsiniz. Alternatif olarak, etkilenen Web Görünümleri'nin loadUrl aracılığıyla HTTP şemaları içeren URL'leri yüklememesini sağlayabilirsiniz.
JavaScript arayüzleri içeren Web Görünümleri'nin güvenilir olmayan kaynaklardan edinilen kontrol edilmemiş URL'leri (ör. güvenilir olmayan Amaçlardan edinilen URL'ler) yüklemediğinden emin olun.
Yardımcı olmak için buradayız
Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili sorunuz olursa geliştirici destek ekibimize ulaşabilirsiniz.