Disse oplysninger er beregnet til udviklere med apps, der er sårbare over for indsætning i JavaScript-brugerfladen.
Hvad sker der?
Få flere oplysninger ved at gå til meddelelsen i Play Console. Efter de tidsfrister, der vises i Play Console, kan alle apps med sikkerhedsbrister, som ikke er rettet, blive fjernet fra Google Play.
Påkrævet handling
- Log ind på Play Console, og gå til afsnittet Advarsler for at se, hvilke apps der er berørt, og tidsfristerne for at løse disse problemer.
- Opdater dine berørte apps, og ret sikkerhedsbristen.
- Indsend de opdaterede versioner af de berørte apps.
Din app gennemgås på ny, når du indsender den igen. Dette kan tage flere timer. Hvis appen består gennemgangen og udgives korrekt, skal du ikke gøre mere. Hvis appen ikke består gennemgangen, udgives den nye appversion ikke, og du modtager en notifikation via mail.
Yderligere oplysninger
WebViews, der afslører objekter på appniveau for JavaScript-kode via addJavascriptInterface og indlæser webindhold, der ikke er tillid til, er sårbare over for indsætning i JavaScript-brugerfladen. Det pågældende indhold, der ikke er tillid til, kan køre alle de afslørede objekters metoder, som er annoteret med @JavascriptInterface, hvilket kan medføre dataudslip, databeskadigelse eller tilfældig kørsel af kode.
Vi anbefaler, at du lukker dette sikkerhedshul på en af følgende måder:
Mulighed 1: Sørg for, at WebViews ikke føjer objekter til JavaScript-brugerfladen
Sørg for, at der ikke er føjet nogen objekter til JavaScript-brugerfladen for nogen WebViews, der indlæser webindhold, som der ikke er tillid til. Dette kan du gøre på to måder:
Sørg for, at ingen objekter nogensinde føjes til JavaScript-brugerfladen via kald til addJavascriptInterface.
-
Fjern objekter fra JavaScript-brugerfladen i shouldInterceptRequest via removeJavascriptInterface, før WebView indlæser webindhold, der ikke er tillid til.
Mulighed 2: Sørg for, at WebViews kun indlæser webindhold, der er tillid til
Hvis din app skal afsløre objekter for JavaScript-brugerfladen i forbindelse med en WebView, skal du sørge for, at den pågældende WebView ikke indlæser webindhold via en ukrypteret forbindelse. Du kan angive android:usesCleartextTraffic som falsk i dit Manifest eller angive en Network Security Config, som ikke tillader HTTP-trafik. Du kan også sørge for, at berørte WebViews ikke indlæser nogen webadresser med HTTP-skemaer via loadUrl.
Sørg for, at WebViews med JavaScript-brugerflader ikke indlæser webadresser, der ikke er blevet tjekket, og som stammer fra kilder, der ikke er tillid til (f.eks. en webadresse, der stammer fra Intents, som der ikke er tillid til).
Vi er klar til at hjælpe dig
Hvis du har nogen tekniske spørgsmål om problemet, kan du skrive dem i et indlæg på Stack Overflow og bruge tagget "android-security". Hvis du har spørgsmål vedrørende de trin, du skal gennemgå for at lukke sikkerhedshullet, er du velkommen til at kontakte vores supportteam til udviklere.