Solució per a la vulnerabilitat de la interfície de JavaScript sensible

Aquesta informació va dirigida als desenvolupadors d'aplicacions que contenen la vulnerabilitat de la interfície de JavaScript sensible.

Què passa

Consulta l'avís a Play Console.

Passats els terminis que es mostren a Play Console, és possible que se suprimeixin de Google Play les aplicacions que presentin vulnerabilitats de seguretat sense corregir.

Acció necessària

  1. Obre la notificació que s'ha enviat per correu electrònic a l'adreça electrònica del propietari del compte per veure quines aplicacions s'han vist afectades i les dates límit per resoldre aquests problemes.
  2. Actualitza les aplicacions afectades i corregeix la vulnerabilitat.
  3. Envia les versions actualitzades de les aplicacions afectades.

Un cop hagis tornat a enviar l'aplicació, la tornarem a revisar. Aquest procés pot tardar diverses hores a completar-se. Si l'aplicació supera la revisió i es publica correctament, no caldrà dur a terme cap altra acció. Si l'aplicació no supera la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.

Detalls addicionals

D'acord amb la política Ús abusiu de dispositius i de xarxes, "les aplicacions o el codi de tercers (p. ex., SDK) amb llenguatge JavaScript que es carreguin en temps d'execució no poden permetre cap possible infracció de les polítiques per a desenvolupadors de Play".

En aquest article, ens referim a qualsevol objecte que exposi la funcionalitat a un WebView mitjançant el mètode addJavaScriptInterface d'un WebView com a "interfície de JavaScript", tal com es descriu a l'article de blog de Google Developers sobre la creació d'aplicacions web en un WebView.

Aquesta classe de vulnerabilitat permet que es produeixin possibles infraccions de les dades d'usuari o mitjançant programari maliciós a través d'interfícies de JavaScript. En funció de les interfícies que s'exposin, això pot provocar una recollida i una filtració imprevistes de dades, juntament amb l'existència d'aplicacions potencialment perjudicials sense que el desenvolupador de l’aplicació o de l’SDK ho sàpiga.

Et recomanem que evitis aquesta vulnerabilitat d'una de les maneres següents:

Opció 1: assegura't que els WebViews no afegeixin objectes a la interfície de JavaScript

Assegura't que no hi hagi objectes afegits a la interfície de JavaScript de qualsevol WebView que carregui contingut web que no sigui de confiança. Ho pots fer de dues maneres:

  1. Assegura't que no s'afegeixin mai objectes a la interfície de JavaScript amb crides a addJavascriptInterface.
  2. Suprimeix els objectes de la interfície de JavaScript a shouldInterceptRequest a través de removeJavascriptInterface abans que el WebView carregui contingut que no sigui de confiança.

Opció 2: assegura't que la funcionalitat sensible no s'exposi mitjançant una interfície de JavaScript

Assegura't que la funcionalitat sensible (com ara les crides a l'API d'Android que requereixen permisos) no s'afegeixi a les interfícies de JavaScript. Això inclou no recollir dades sensibles, com ara informació sobre l'usuari o el dispositiu, ni exposar API, com ara les corresponents a l'accessibilitat o als missatges SMS. Hi ha diverses maneres de resoldre la vulnerabilitat mitjançant aquest procediment:

  1. Torna a implementar la funcionalitat que requereixi permisos sensibles o que reculli informació sensible perquè es cridi des del codi empaquetat dins de l'aplicació. Assegura't que la comunicació destacada s'enviï als usuaris.
  2. Suprimeix totes les funcions que proporcionin accés a funcionalitat o dades d'usuari sensibles a les quals es pugui accedir des de la interfície.

Opció 3: assegura't que el teu WebView no exposi funcionalitat sensible a contingut que no sigui de confiança

Si el teu WebView conté funcionalitat sensible, és possible que no carregui JavaScript arbitrari de fonts desconegudes. A més, haurà d'enviar una comunicació destacada de les dades o de la funcionalitat que s'utilitzen. Assegura't que només es carreguin al WebView els URL delimitats rigorosament i el contingut que sigui propietat del desenvolupador de l'aplicació.

En cas que la vulnerabilitat no se solucioni, es comprovarà si es produeixen possibles infraccions de les polítiques de Play a l'aplicació.

Som aquí per ajudar-te

Si has revisat la política i creus que hem pres una decisió errònia, contacta amb el nostre equip d'assistència sobre polítiques. Et respondrem en un termini de dos dies laborables.

Gràcies per col·laborar sempre amb nosaltres perquè Google Play sigui una experiència positiva tant per als desenvolupadors com per als consumidors.

 

Ha estat útil?

Com ho podem millorar?
Cerca
Esborra la cerca
Tanca la cerca
Menú principal
6888606530940589335
true
Cerca al Centre d'ajuda
true
true
true
true
true
92637
false
false