Ове информације су намењене програмерима са апликацијама које садрже пропуст у вези са увођењем JavaScript интерфејса.
Шта се дешава
Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.
Треба да реагујете
- Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
- Ажурирајте апликације на које се ово односи и исправите пропусте.
- Пошаљите ажуриране верзије апликација на које се ово односи.
Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.
Додатне информације
WebView-ови који објекте на нивоу апликације излажу JavaScript коду преко ставке addJavascriptInterface и учитавају непоуздан веб-садржај подложни су пропусту у вези са увођењем JavaScript интерфејса. Непоуздан садржај може да покрене било које методе откривених објеката са ознаком @JavascriptInterface, што би довело до цурења или оштећења података или насумичног извршавања кода.
Препоручујемо вам да спречите овај пропуст на један од следећих начина:
1. опција: Уверите се да WebView-ови не додају објекте у JavaScript интерфејс
Уверите се да WebView-ови који учитавају непоуздан веб-садржај не додају објекте у JavaScript интерфејс. То можете да урадите на два начина:
Уверите се да ниједан објекат неће бити додат у JavaScript интерфејс позивањем на addJavascriptInterface.
-
Уклоните објекте из JavaScript интерфејса у ставки shouldInterceptRequest преко ставке removeJavascriptInterface пре него што WebView учита непоуздан садржај.
2. опција: Уверите се да WebView-ови не учитавају непоуздан веб-садржај
Ако апликација треба да изложи објекте JavaScript интерфејсу неког WebView-а, уверите се да тај WebView не учитава веб-садржај преко везе која није шифрована. Можете да подесите android:usesCleartextTraffic на „нетачно“ у манифесту или подесите безбедносну конфигурацију мреже која не дозвољава HTTP саобраћај. Можете и да се уверите да ниједан WebView са опасним подешавањима не учитава ниједан URL са HTTP шемама преко ставке loadUrl.
Уверите се да WebView-ови са JavaScript интерфејсима не учитавају непроверене URL-ове који су добијени из непоузданих извора (на пример, URL-ови добијени од непоузданих намера).
Ту смо да помогнемо
Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте разјаснили кораке које треба да предузмете да бисте решили овај проблем, контактирајте тим подршке за програмере.