Disse oplysninger er tiltænkt udviklere med apps, der indeholder en sikkerhedsbrist som følge af en følsom JavaScript-grænseflade.
Hvad sker der?
Få flere oplysninger ved at gå til meddelelsen i Play Console.
Påkrævet handling
- Åbn den Google Play-mailnotifikation, som er sendt til kontoejerens mailadresse, for at se, hvilke apps der er berørt, og tidsfristerne for at løse problemerne.
- Opdater dine berørte apps, og sørg for at udbedre sikkerhedsbristen.
- Indsend de opdaterede versioner af de berørte apps.
Din app gennemgås på ny, når du indsender den igen. Dette kan tage flere timer. Hvis appen består gennemgangen og udgives korrekt, skal du ikke gøre mere. Hvis appen ikke består gennemgangen, udgives den nye appversion ikke, og du modtager en notifikation via mail.
Yderligere oplysninger
I henhold til politikken Enheds- og netværksmisbrug må "apps eller tredjepartskode (f.eks. SDK'er) med JavaScript, som indlæses på kørselstidspunktet, ikke tillade potentielle overtrædelser af Play-udviklerpolitikkerne".
I denne artikel betragtes alle objekter, der afslører funktioner i Webvisning via metoden addJavascriptInterface i Webvisning, som JavaScript-grænseflader som beskrevet i artiklen om udvikling af webapps i Webvisning på Google Developers-bloggen.
Denne type sikkerhedsbrist muliggør potentielle overtrædelser af reglerne for brugerdata og malware via JavaScript-grænseflader. Dette kan føre til uventet dataindsamling og datatyveri samt potentielt skadelige apps uden app- eller SDK-udviklerens viden, afhængigt af hvilke grænseflader der afsløres.
Vi anbefaler, at du udbedrer denne sikkerhedsbrist på en af følgende måder:
Mulighed 1: Sørg for, at WebViews ikke føjer objekter til JavaScript-brugerfladen
Sørg for, at der ikke er føjet nogen objekter til JavaScript-brugerfladen for nogen WebViews, der indlæser webindhold, som der ikke er tillid til. Dette kan gøres på to måder:
- Sørg for, at ingen objekter nogensinde føjes til JavaScript-grænsefladen via kald til addJavascriptInterface.
-
Fjern objekter fra JavaScript-grænsefladen i shouldInterceptRequest via removeJavascriptInterface, før Webvisning indlæser webindhold, der ikke er tillid til.
Mulighed 2: Sørg for, at følsomme funktioner ikke afsløres via en JavaScript-grænseflade
Sørg for, at eventuelle følsomme funktioner (f.eks. Android API-kald, der kræver tilladelser) ikke føjes til JavaScript-grænseflader. Dette betyder også, at der ikke må indsamles følsomme oplysninger om brugeren/enheden eller afsløres API'er som f.eks. tilgængelighed eller sms-beskeder. Du kan udbedre din sikkerhedsbrist på flere måder via denne mulighed:
- Implementer alle funktioner, der kræver følsomme tilladelser eller indsamler følsomme oplysninger, igen, så de kaldes via kode, der er pakket i appen. Sørg for, at brugerne modtager en tydelig erklæring.
- Fjern alle funktioner med adgang til følsomme funktioner eller brugerdata, som er tilgængelige via grænsefladen.
Mulighed 3: Sørg for, at Webvisning ikke afslører følsomme funktioner for indhold, der ikke er tillid til
Hvis Webvisning indeholder følsomme funktioner, indlæser den muligvis ikke vilkårlig JavaScript fra ukendte kilder, og den skal have en tydelig erklæring om, hvilke data eller funktioner der anvendes. Sørg for, at det kun er strengt afgrænsede webadresser og indhold, som ejes af appudvikleren, der indlæses i Webvisning.
Hvis sikkerhedsbristen ikke udbedres, griber vi ind overfor appen for potentielle overtrædelser af Play-politikken.
Vi hjælper dig videre
Hvis du har gennemgået politikken, og mener, at vores beslutning er forkert, kan du kontakte vores team til support vedrørende politikker. Vi vender tilbage til dig inden for to hverdage.
Tak for din fortsatte støtte og hjælp til at gøre Google Play bedre for både udviklere og forbrugere.