यह जानकारी उन डेवलपर के लिए है जिनके ऐप्लिकेशन में संवेदनशील 'JavaScript इंटरफ़ेस' से जुड़े जोखिम की आशंका मौजूद है.
क्या नया हो रहा है
कृपया Play Console में दी गई सूचना देखें.
कार्रवाई ज़रूरी है
- खाते के मालिक के ईमेल पते पर भेजी गई, Google Play की ईमेल सूचना देखें. इससे, आपको पता चलेगा कि किन ऐप्लिकेशन में समस्याएं हैं और उन्हें ठीक करने की समयसीमा क्या है.
- आपके जिन ऐप्लिकेशन में समस्याएं हैं उन्हें अपडेट करें और जोखिम की संभावना को दूर करें.
- जिन ऐप्लिकेशन में समस्याएं हैं उनके अपडेट किए गए वर्शन सबमिट करें.
दोबारा सबमिट करने पर, आपके ऐप्लिकेशन की फिर से समीक्षा की जाएगी. इस प्रक्रिया में कई घंटे लग सकते हैं. अगर ऐप्लिकेशन, समीक्षा में पास होता है और पब्लिश कर दिया जाता है, तो कुछ और करने की ज़रूरत नहीं है. अगर ऐप्लिकेशन समीक्षा में फ़ेल हो जाता है, तो उसका नया वर्शन पब्लिश नहीं किया जाएगा और आपको ईमेल से इसकी सूचना मिल जाएगी.
कुछ और जानकारी
डिवाइस और नेटवर्क के गलत इस्तेमाल से जुड़ी नीति के मुताबिक, "रन टाइम के दौरान लोड की गई JavaScript का इस्तेमाल करने वाले ऐप्लिकेशन या SDK टूल जैसे तीसरे पक्ष के कोड के लिए यह ज़रूरी है कि वे किसी भी स्थिति में, डेवलपर के लिए बनाई गई Play की नीतियों का उल्लंघन न होने दें."
इस लेख में, हम उन ऑब्जेक्ट का रेफ़रंस देते हैं जो 'JavaScript इंटरफ़ेस' के तौर पर किसी वेबव्यू के फ़ंक्शन दिखाते हैं. इसके लिए, वेबव्यू के addJavascriptInterface तरीके का इस्तेमाल किया जाता है. इस तरीके के बारे में Google Developers ब्लॉग के 'वेबव्यू में वेब ऐप्लिकेशन बनाना' लेख में बताया गया है.
इस तरह के जोखिम की संभावना होने पर, 'JavaScript इंटरफ़ेस' के ज़रिए उपयोगकर्ता के डेटा और मैलवेयर से जुड़ी समस्याएं आ सकती हैं. सार्वजनिक हुए इंटरफ़ेस के हिसाब से, ऐप्लिकेशन या SDK टूल के डेवलपर की अनुमति के बिना ही डेटा इकट्ठा किया जा सकता है. साथ ही, नुकसान पहुंचा सकने वाले ऐप्लिकेशन के साथ उस डेटा को शेयर भी किया जा सकता है.
हमारा सुझाव है कि आप यहां बताए गए किसी भी तरीके का इस्तेमाल करके, इस जोखिम को रोकें:
पहला विकल्प: पक्का करें कि WebViews, 'JavaScript इंटरफ़ेस' में ऑब्जेक्ट न जोड़ें
पक्का करें कि किसी भी WebView के 'JavaScript इंटरफ़ेस' में गैर-भरोसेमंद वेब कॉन्टेंट लोड करने वाला कोई ऑब्जेक्ट न जोड़ा गया हो. यह काम दो तरीकों से किया जा सकता है:
- पक्का करें कि addJavascriptInterface पर कॉल करके, 'JavaScript इंटरफ़ेस' में कोई ऑब्जेक्ट न जोड़ा गया हो.
-
वेबव्यू से गैर-भरोसेमंद कॉन्टेंट लोड होने से पहले, removeJavascriptInterface की मदद से shouldInterceptRequest में 'JavaScript इंटरफ़ेस' से ऑब्जेक्ट हटाएं.
दूसरा विकल्प: पक्का करें कि किसी 'JavaScript इंटरफ़ेस' से संवेदनशील फ़ंक्शन सार्वजनिक न हों
पक्का करें कि किसी भी संवेदनशील फ़ंक्शन को 'JavaScript इंटरफ़ेस' में न जोड़ा जाए. उदाहरण के लिए, ऐसे Android API कॉल जिनके लिए अनुमतियों की ज़रूरत होती है. इसमें, संवेदनशील डेटा को इकट्ठा न करना शामिल है. जैसे, उपयोगकर्ता/डिवाइस के बारे में जानकारी. इसके अलावा, सुलभता या एसएमएस मैसेजिंग जैसे एपीआई को सार्वजनिक भी नहीं करना चाहिए. जोखिम की आशंका को दूर करने के कई तरीके हैं:
- ऐसे किसी भी फ़ंक्शन को फिर से लागू करें जिसके लिए संवेदनशील जानकारी ऐक्सेस करने की अनुमतियां ज़रूरी हों या जो संवेदनशील जानकारी इकट्ठा करता हो, ताकि उसे ऐप्लिकेशन में पैकेज किए गए कोड से कॉल किया जा सके. पक्का करें कि उपयोगकर्ताओं को साफ़ तौर पर जानकारी ज़ाहिर की गई हो.
- ऐसे सभी फ़ंक्शन हटा दें जो इंटरफ़ेस से ऐक्सेस किए जा सकने वाले संवेदनशील फ़ंक्शन या उपयोगकर्ता के डेटा का ऐक्सेस देते हों.
तीसरा विकल्प: पक्का करें कि आपका वेबव्यू, गैर-भरोसेमंद कॉन्टेंट को संवेदनशील फ़ंक्शन का ऐक्सेस न देता हो
अगर आपके वेबव्यू में संवेदनशील फ़ंक्शन शामिल हैं, तो हो सकता है कि इसमें नामालूम स्रोत से आर्बिट्र्रेरी JavaScript लोड न हो. साथ ही, इसमें इस्तेमाल किए जा रहे डेटा या फ़ंक्शन की साफ़ तौर पर जानकारी ज़ाहिर करना ज़रूरी है. पक्का करें कि वेबव्यू में, ऐप्लिकेशन डेवलपर के मालिकाना हक वाले कॉन्टेंट के साथ-साथ, सिर्फ़ पूरी तरह से स्कोप किए गए यूआरएल लोड किए गए हों.
अगर जोखिम की आशंका दूर नहीं की जाती है, तो Play की नीति के संभावित उल्लंघनों के लिए, ऐप्लिकेशन पर कार्रवाई की जा सकती है.
हम आपकी मदद के लिए हमेशा तैयार हैं
अगर आप नीति पढ़ चुके हैं और आपको लगता है कि हमारा फ़ैसला सही नहीं है, तो नीति से जुड़ी हमारी सहायता टीम से संपर्क करें. हम दो कामकाजी दिनों के अंदर आपसे संपर्क करेंगे.
डेवलपर और उपभोक्ता, दोनों को ही अच्छा अनुभव देने में, Google Play की मदद करने के लिए आपका धन्यवाद.