Tyto informace jsou určeny vývojářům aplikací, které nejsou zabezpečeny proti zásahu do citlivého rozhraní JavaScriptu.
K čemu dochází
Další informace najdete v oznámení ve službě Play Console.
Vyžadovaná akce
- Přečtěte si v e‑mailovém oznámení služby Google Play odeslaném na e‑mailovou adresu vlastníka účtu, které aplikace jsou dotčeny a do kdy je potřeba problémy vyřešit.
- Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
- Odešlete aktualizované verze dotčených aplikací.
Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.
Další podrobnosti
Podle zásad týkajících se zneužívání zařízení a sítě nesmí aplikace ani kód třetích stran (např. sady SDK) s JavaScriptem načítaným při spuštění umožňovat potenciální porušení zásad služby Play pro vývojáře.
Tento článek pojednává o objektu, který v součásti WebView prostřednictvím její metody addJavascriptInterface zpřístupňuje funkce ve formě rozhraní JavaScriptu, jak je popsáno v článku o vytváření webových aplikací ve WebView na blogu Google Developers.
Tato třída chyb zabezpečení umožňuje potenciální porušení zásad týkajících se uživatelských dat a malwaru prostřednictvím rozhraní JavaScriptu. V závislosti na zpřístupněných rozhraních to může vést k neočekávanému shromažďování a ztrátě dat ve spojení s potenciálně škodlivými aplikacemi bez vědomí vývojáře aplikace nebo sady SDK.
Doporučujeme, abyste této chybě zabezpečení zabránili jedním z následujících způsobů:
Možnost 1: Zajistěte, aby zobrazení WebView do rozhraní JavaScriptu nepřidávala objekty
Zajistěte, aby zobrazení WebView, která načítají nedůvěryhodný webový obsah, nepřidávala do rozhraní JavaScriptu žádné objekty. Lze to provést dvěma způsoby:
- Zajistěte, aby do rozhraní JavaScriptu nikdy nebyly přidávány objekty pomocí volání addJavascriptInterface.
-
Než zobrazení WebView načte nedůvěryhodný obsah, odstraňte objekty z rozhraní JavaScriptu v požadavku shouldInterceptRequest pomocí metody removeJavascriptInterface.
Možnost 2: Zajistěte, aby citlivé funkce nebyly přístupné prostřednictvím rozhraní JavaScriptu
Zajistěte, aby do rozhraní JavaScriptu nebyly přidávány žádné citlivé funkce (například volání rozhraní Android API vyžadující oprávnění). Týká se to mimo jiné shromažďování citlivých dat, jako jsou informace o uživateli či zařízení nebo zpřístupnění rozhraní API, jako jsou funkce přístupnosti nebo odesílání a příjmu zpráv SMS. Takto lze chybu zabezpečení vyřešit několika způsoby:
- Změňte implementaci funkcí, které vyžadují citlivá oprávnění nebo shromažďují citlivé údaje, tak, aby byly volány v rámci kódu aplikace. Zajistěte, aby uživatelé byli dobře viditelným způsobem informováni.
- Odstraňte všechny funkce, které poskytují přístup k citlivým funkcím nebo uživatelským datům dostupným v rozhraní.
Možnost 3: Zajistěte, aby součást WebView citlivé funkce nezpřístupňovala nedůvěryhodnému obsahu
Pokud WebView obsahuje citlivé funkce, nesmí načítat JavaScript z neznámých zdrojů a musí poskytovat jasně viditelné oznámení o používaných datech nebo funkcích. Zajistěte, aby se do WebView načítaly jen adresy URL ze striktně omezeného rozsahu a obsah vlastněný vývojářem aplikace.
Pokud chyba zabezpečení nebude vyřešena, budou vůči aplikaci podniknuty kroky z důvodu potenciálních porušení zásad služby Play.
Rádi vám pomůžeme
Pokud jste si zásadu přečetli a máte pocit, že naše rozhodnutí mohlo být chybné, kontaktujte náš tým podpory k zásadám. Do 2 pracovních dnů vám odpovíme.
Děkujeme vám, že ve službě Google Play pomáháte zajistit pozitivní prostředí pro vývojáře i spotřebitele.