Te informacije so namenjene razvijalcem aplikacij, ki vsebujejo ranljivost občutljivega vmesnika JavaScript.
Kaj se dogaja?
Preberite obvestilo v Konzoli Play.
Potrebno je ukrepanje
- Odprite e-poštno obvestilo Googla Play, poslano na e-poštni naslov lastnika računa, da si ogledate, katere aplikacije to zadeva in v katerih rokih morate odpraviti te težave.
- Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.
Dodatne informacije
Skladno s pravilnikom o zlorabi naprav in omrežja »aplikacije ali koda tretje osebe (npr. kompleti za razvoj programske opreme) z naloženim JavaScriptom v času zagona ne smejo dovoliti morebitnih kršitev pravilnikov za razvijalce za Google Play.«
V tem članku obravnavamo vsak predmet, ki izpostavlja funkcionalnost spletnemu pogledu z metodo addJavascriptInterface spletnega pogleda, kot vmesnik JavaScript, kakor je opisano v blogu Google Developers o razvoju spletnih programov v spletnem pogledu.
Ta razred ranljivosti omogoča morebitne kršitve podatkov uporabnikov in zlonamerne programske opreme prek vmesnikov JavaScript. Glede na izpostavljene vmesnike lahko to privede do nepričakovanega zbiranja in izločanja podatkov ter morebitno škodljivih aplikacij brez vednosti aplikacije ali razvijalca kompleta za razvoj programske opreme.
Priporočamo, da to ranljivost preprečite na enega od teh načinov:
1. možnost: zagotovite, da mehanizmi WebView ne dodajajo predmetov v vmesnik JavaScripta
Zagotovite, da ni v vmesnik JavaScripta katerega koli mehanizma WebView, ki nalaga zaupanja nevredno spletno vsebino, dodan noben predmet. To lahko storite na dva načina:
- Zagotovite, da ni prek klicev metodi addJavascriptInterface v vmesnik JavaScripta nikoli dodan noben predmet.
-
Odstranite predmete iz vmesnika JavaScripta v metodi shouldInterceptRequest prek metode removeJavascriptInterface, preden spletni pogled naloži zaupanja nevredno vsebino.
2. možnost: Poskrbite, da občutljive funkcionalnosti niso razkrite prek vmesnika JavaScript
Poskrbite, da morebitne občutljive funkcionalnosti (kot so klici API-jev za Android, ki zahtevajo dovoljenja) niso dodane vmesnikom JavaScript. To pomeni tudi, da se ne zbirajo občutljivi podatki, kot so podatki o uporabniku/napravi, ali da se ne razkrivajo API-ji, kot so API-ji, namenjeni funkcijam za osebe s posebnimi potrebami ali sporočanju s SMS-ji. Ranljivost lahko odpravite na več načinov:
- Znova izvedite funkcionalnosti, ki zahtevajo občutljiva dovoljenja ali zbirajo občutljive podatke, tako da so klicane iz kode, zapakirane v aplikaciji. Poskrbite, da imajo uporabniki na voljo vidno razkritje.
- Odstranite vse funkcije, ki omogočajo dostop do občutljivih funkcionalnosti ali podatkov uporabnikov, ki so dostopni iz vmesnika.
3. možnost: Poskrbite, da spletni pogled ne razkriva občutljivih funkcionalnosti zaupanja nevredni vsebini
Če spletni pogled vsebuje občutljive funkcionalnosti, morda ne bo nalagal poljubne vsebine JavaScript iz neznanih virov in bo moral zagotoviti vidno razkritje podatkov ali funkcionalnosti, ki jih uporablja. Zagotovite, da bodo v spletni pogled naloženi samo URL-ji s strogim obsegom in vsebina v lasti razvijalca aplikacije.
Če ranljivosti ne odpravite, bomo za aplikacijo uvedli postopek ugotavljanja morebitnih kršitev pravilnikov za Google Play.
Na voljo smo vam za pomoč
Če ste pregledali pravilnik in menite, da je naša odločitev napačna, se obrnite na skupino za podporo za pravilnik. Odgovorili vam bomo v 2 delovnih dneh.
Hvala, da nam pomagate zagotavljati pozitivno izkušnjo Googla Play za razvijalce in potrošnike.