Ši informacija skirta programos (-ų), kurioje (-iose) yra „JavaScript“ sąsajos įtraukimo pažeidimas, kūrėjams.
Kas vyksta
Žr. pranešimą sistemoje „Play Console“. Praėjus „Play Console“ nurodytiems terminams, programos, kuriose yra nepataisytų saugumo pažeidimų, gali būti pašalintos iš „Google Play“.
Būtini veiksmai
- Prisijunkite prie „Play Console“ ir nuėję į skiltį „Įspėjimai“ peržiūrėkite, kurios programos yra paveiktos ir iki kada reikia išspręsti šias problemas.
- Atnaujinkite paveiktas programas ir pataisykite pažeidimą.
- Pateikite atnaujintas paveiktų programų versijas.
Pateikus iš naujo, programa bus peržiūrėta dar kartą. Tai gali užtrukti kelias valandas. Jei programa po peržiūros įvertinama kaip tinkama ir sėkmingai paskelbiama, kitų veiksmų imtis nereikia. Jei programa po peržiūros įvertinama kaip netinkama, nauja jos versija skelbiama nebus, o jūs gausite el. pašto pranešimą.
Papildoma informacija
Žiniatinklio rodiniai, rodantys programos lygio objektus „JavaScript“ kodui per „addJavascriptInterface“ ir įkeliantys nepatikimą žiniatinklio turinį, pažeidžiami taikant „JavaScript“ sąsajos įtraukimą. Nepatikimas turinys gali vykdyti bet kuriuos rodomų objektų metodus su komentaru „@JavascriptInterface“, todėl gali būti atskleisti, sugadinti duomenys ar net vykdomas kenksmingas kodas.
Apsisaugoti nuo šio pažeidimo rekomenduojame vienu iš nurodytų būdų.
1 parinktis: įsitikinkite, kad „WebView“ neprideda objektų prie „JavaScript“ sąsajos
Turėtumėte įsitikinti, kad nėra objektų, pridėtų prie bet kurio nepatikimą žiniatinklio turinį įkeliančio „WebView“ „JavaScript“ sąsajos. Tai galima atlikti dviem būdais.
Įsitikinkite, kad jokie objektai nepridedami prie „JavaScript“ sąsajos per iškvietimus į „addJavascriptInterface“.
-
Pašalinkite objektus iš „JavaScript“ sąsajos užklausoje „shouldInterceptRequest“, pateiktoje per „removeJavascriptInterface“, prieš žiniatinklio rodiniui įkeliant nepatikimą turinį.
2 parinktis: įsitikinkite, kad „WebView“ neįkelia nepatikimo žiniatinklio turinio
Jei programai reikia rodyti objektus „WebView“ „JavaScript“ sąsajai, įsitikinkite, kad „WebView“ neįkelia žiniatinklio turinio nešifruotu ryšiu. Galite nustatyti „android:usesCleartextTraffic“ kaip „false“ faile „Manifest“ arba nustatyti „Network Security Config“, neleidžiantį HTTP srauto. Arba galite įsitikinti, kad jokie paveikti „WebView“ neįkelia jokių URL su HTTP schemomis per „loadUrl“.
Įsitikinkite, kad „WebView“ su „JavaScript“ sąsajomis neįkelia iš nepatikimų šaltinių gautų nepažymėtų URL (pvz., URL, gautų iš nepatikimų tikslų).
Esame pasiruošę padėti
Jei kyla su pažeidimais susijusių techninių klausimų, galite paskelbti juos sistemoje „Stack Overflow“ ir naudoti žymą „android-security“. Jei reikia daugiau informacijos apie veiksmus, kuriuos turite atlikti, kad išspręstumėte šią problemą, galite susisiekti su mūsų kūrėjų palaikymo komanda.