Nämä tiedot on tarkoitettu kehittäjille, joiden sovellukset sisältävät JavaScript-käyttöliittymäkoodin lisäyshaavoittuvuuden.
Mistä on kyse?
Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset poistetaan Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
WebView't, jotka altistavat sovellustason objekteja JavaScript-koodille addJavascriptInterface-metodilla ja lataavat epäluotettavaa verkkosisältöä, ovat alttiita JavaScript-käyttöliittymäkoodin lisäykselle. Epäluotettava sisältö voi suorittaa minkä tahansa alttiina olevien objektien metodin, jossa on @JavascriptInterface-merkintä. Tämä voi johtaa datavuotoihin, datan vioittumiseen tai jopa määrittelemättömän koodin suorittamiseen.
Suosittelemme estämään tämän haavoittuvuuden jollakin seuraavista tavoista:
Vaihtoehto 1: Varmista, että WebView't eivät lisää objekteja JavaScript-käyttöliittymään
Varmista, että minkään epäluotettavaa verkkosisältöä lataavan WebView'n JavaScript-käyttöliittymään ei lisätä objekteja. Tämän voi tehdä kahdella tavalla:
Varmista, että JavaScript-käyttöliittymään ei koskaan lisätä objekteja addJavascriptInterface-metodin kautta.
-
Poista objektit JavaScript-käyttöliittymästä shouldInterceptRequest-metodi removeJavascriptInterface-metodilla ennen kuin WebView lataa epäluotettavaa sisältöä.
Vaihtoehto 2: Varmista, että WebView't eivät lataa epäluotettavaa verkkosisältöä
Jos sovelluksessasi on altistettava objekteja WebView'n JavaScript-käyttöliittymälle, varmista, ettei WebView lataa verkkosisältöä salaamattoman yhteyden kautta. Voit asettaa android:usesCleartextTraffic-metodin epätodeksi teknisissä tiedoissa tai tehdä Network Security Config ‑asetuksen, joka estää HTTP-liikenteen. Toinen vaihtoehto on varmistaa, että WebView't, joihin tämä vaikuttaa, eivät lataa HTTP-URL-osoitteita loadUrl-metodin kautta.
Varmista myös, että WebView't eivät lataa JavaScript-käyttöliittymissä epäluotettavista lähteistä saatuja tarkistamattomia URL-osoitteita (esimerkiksi epäluotettavista tavoitteista saatuja URL-osoitteita).
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi tagilla android-security. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.