Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kurās ir JavaScript saskarnes injekcijas ievainojamība.
Problēma
Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.
Papildinformācija
Sistēmas komponenti WebViews ir neaizsargāti pret JavaScript saskarnes injekciju, ja tie padara lietotnes līmeņa objektus pieejamus JavaScript kodam ar metodi addJavascriptInterface un ielādē neuzticamu tīmekļa saturu. Neuzticamais saturs var izpildīt jebkuru pieejamā objekta metodi, kas ir anotēta ar @JavascriptInterface, izraisot datu noplūdi, datu bojājumus vai pat brīvi noteikta koda izpildi.
Iesakām šo ievainojamību novērst kādā no tālāk norādītajiem veidiem.
1. iespēja: novērsiet objektu pievienošanu JavaScript saskarnei komponentos WebView
Panāciet, lai nevienā komponentā WebView, ar kuru tiek ielādēts neuzticams tīmekļa saturs, JavaScript saskarnei netiktu pievienoti objekti. To varat izdarīt divējādi.
Panāciet, lai JavaScript saskarnei nekad netiktu pievienots neviens objekts, izmantojot pievienošanai metodes addJavascriptInterface izsaukumus.
-
Pirms neuzticama satura ielādes, ko veic komponents WebView, noņemiet objektus no JavaScript saskarnes failā shouldInterceptRequest, izmantojot metodi removeJavascriptInterface.
2. iespēja: novērsiet neuzticama tīmekļa satura ielādi komponentos WebView
Ja jūsu lietotnē objektiem ir jābūt pieejamiem komponenta WebView JavaScript saskarnei, jums jāpanāk, lai komponents WebView neielādētu tīmekļa saturu, izmantojot ielādei nešifrētu savienojumu. Failā Manifest varat atribūtam android:usesCleartextTraffic iestatīt vērtību “false” vai failā Network Security Config aizliegt HTTP datplūsmu. Vai arī varat nodrošināt, lai nevienā ietekmētajā komponentā WebView netiktu ielādēti vietrāži URL ar HTTP shēmām, izmantojot ielādei loadUrl.
Gādājiet, lai komponentos WebView ar JavaScript saskarnēm netiktu ielādēti nepārbaudīti vietrāži URL, kas iegūti no neuzticamiem avotiem (piemēram, URL, kas iegūti no neuzticamiem nolūkiem).
Mēs jums palīdzēsim!
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security.” Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.