Esta información está dirigida a los desarrolladores cuyas apps contengan la vulnerabilidad de la interfaz de JavaScript sensible.
Novedades
Consulta el aviso en Play Console.
Acción obligatoria
- Abre la notificación por correo electrónico de Google Play que se envió a la dirección de correo electrónico del propietario de la cuenta para comprobar qué apps se ven afectadas y las fechas límite para resolver los problemas.
- Actualiza las apps afectadas y corrige la vulnerabilidad.
- Envía las versiones actualizadas de las apps afectadas.
Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requerirá ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.
Detalles adicionales
De acuerdo con la Política de Abuso de Redes y Dispositivos, las apps o el código de terceros (por ejemplo, los SDK) con JavaScript que se cargan durante el tiempo de ejecución no deben permitir incumplimientos potenciales de las Políticas para Desarrolladores de Play.
En este artículo, nos referimos a cualquier objeto que exponga la funcionalidad a una WebView a través del método addJavascriptInterface
de una WebView como una interfaz de JavaScript, según se describe en el artículo "Cómo crear aplicaciones web en WebView" del blog de Google Developers.
Esta clase de vulnerabilidad permite que ocurran incumplimientos potenciales de Datos del Usuario y Software Malicioso a través de las interfaces de JavaScript. Según las interfaces expuestas, esto puede provocar que se recopilen y roben datos de forma inesperada, así como aplicaciones potencialmente dañinas, sin el conocimiento del desarrollador de la app o el SDK.
Te recomendamos que evites esta vulnerabilidad de cualquiera de las siguientes maneras:
Opción 1: Asegúrate de que WebView no agregue objetos a la interfaz de JavaScript
Asegúrate de que no se agreguen objetos a la interfaz de JavaScript de ningún WebView que cargue contenido web que no sea de confianza. Puedes hacerlo de dos maneras:
- Asegúrate de que no se agregue ningún objeto a la interfaz de JavaScript mediante llamadas a addJavascriptInterface.
-
Quita los objetos de la interfaz de JavaScript en shouldInterceptRequest mediante removeJavascriptInterface antes de que la WebView cargue contenido que no sea de confianza.
Opción 2: Asegúrate de que la funcionalidad sensible no esté expuesta a través de una interfaz de JavaScript
Asegúrate de que no se agreguen funcionalidades sensibles (como llamadas a la API de Android que requieran permisos) a las interfaces de JavaScript. Esto incluye no recopilar datos sensibles, como información sobre el usuario o el dispositivo, o exponer las API, como la de accesibilidad o de mensajes SMS. Hay varias formas de resolver la vulnerabilidad:
- Puedes volver a implementar cualquier funcionalidad que requiera permisos sensibles o recopile información sensible de modo que se llame desde el código empaquetado dentro de la aplicación. Asegúrate de que se proporcione la divulgación destacada a los usuarios.
- Puedes quitar cualquier función que proporcione acceso a funcionalidades sensibles o datos del usuario a los que se pueda acceder desde la interfaz.
Opción 3: Asegúrate de que la WebView no exponga la funcionalidad sensible a contenido que no sea de confianza
Si tu WebView contiene funcionalidades sensibles, es posible que no cargue código JavaScript arbitrario de fuentes desconocidas y que deba proporcionar una divulgación destacada de los datos o las funcionalidades que se usan. Asegúrate de que solo se carguen en la WebView el contenido y las URLs a las que se les hayan otorgado permisos estrictamente y que pertenezcan al desarrollador de la app.
Si no se soluciona la vulnerabilidad, se aplicarán medidas en la app para abordar los posibles incumplimientos de la política de Play.
Estamos aquí para ayudarte
Si revisaste la política y crees que nuestra decisión pudo haber sido un error, comunícate con nuestro equipo de asistencia sobre políticas. Responderemos en un plazo de 2 días hábiles.
Te agradecemos por tu apoyo continuo para que Google Play sea una experiencia positiva tanto para los desarrolladores como para los consumidores.