Abhilfemaßnahmen für die Sicherheitslücke in der JavaScript-Schnittstelle

Die folgenden Informationen richten sich an Entwickler von Apps, die von einer Sicherheitslücke in der JavaScript-Schnittstelle betroffen sind.

Problembeschreibung

Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console.

Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.

Erforderliche Maßnahmen​

  1. Öffnen Sie die E-Mail-Benachrichtigung von Google Play, die an die E-Mail-Adresse des Kontoinhabers gesendet wurde. Darin finden Sie Informationen dazu, welche Apps betroffen sind und welche Fristen zur Behebung dieser Probleme gelten.
  2. Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
  3. Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.

Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wird, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.

Weitere Details

Gemäß der Richtlinie Missbrauch von Geräten und Netzwerken dürfen „Apps oder Drittanbietercode (z. B. SDKs) mit zur Laufzeit geladenem JavaScript keine potenziellen Verstöße gegen die Google Play-Richtlinien für Entwickler ermöglichen.“ 

In diesem Artikel bezeichnen wir jedes Objekt, das Funktionen für eine WebView durch die addJavascriptInterface-Methode einer WebView offenlegt, als JavaScript-Schnittstelle, wie im Google Developers-Blog zum Erstellen von Web-Apps beschrieben.

Diese Klasse von Sicherheitslücken ermöglicht potenzielle Verstöße gegen die Richtlinien Nutzerdaten und Malware über JavaScript-Schnittstellen. Abhängig von den preisgegebenen Schnittstellen kann dies zu einer unvorhergesehenen Erfassung und Exfiltration von Daten und potenziell schädlichen Anwendungen ohne Wissen des App- oder SDK-Entwicklers führen.

Wir empfehlen, diese Sicherheitslücke auf eine der folgenden Arten zu schließen:

Option 1: Sorgen Sie dafür, dass WebViews der JavaScript-Schnittstelle keine Objekte hinzufügen

Achten Sie darauf, dass keine Objekte zur JavaScript-Schnittstelle oder zu einer WebView hinzugefügt werden, mit der nicht vertrauenswürdige Webinhalte geladen werden. Dazu haben Sie folgende zwei Möglichkeiten:

  1. Achten Sie darauf, dass der JavaScript-Schnittstelle keine Objekte über Aufrufe von addJavascriptInterface hinzugefügt werden.

  2. Entfernen Sie Objekte aus der JavaScript-Schnittstelle in shouldInterceptRequest über removeJavascriptInterface, bevor nicht vertrauenswürdige Inhalte von WebView geladen werden.

Option 2: Sorgen Sie dafür, dass vertrauliche Funktionen nicht über eine JavaScript-Schnittstelle offengelegt werden

Achten Sie darauf, dass vertrauliche Funktionen (z. B. Android-API-Aufrufe, die Berechtigungen erfordern) nicht zu JavaScript-Schnittstellen hinzugefügt werden. Dazu gehört, keine vertraulichen Daten wie Informationen über den Nutzer/das Gerät zu erfassen oder APIs wie Bedienungshilfen oder SMS-Nachrichten offenzulegen. Es gibt mehrere Möglichkeiten, das Sicherheitsrisiko zu lösen:

  1. Reimplementieren Sie alle Funktionen, die vertrauliche Berechtigungen erfordern oder vertrauliche Informationen erfassen, so, dass sie aus dem in der App verpackten Code aufgerufen werden. Sorgen Sie dafür, dass die Nutzer einen deutlichen Hinweis erhalten.
  2. Entfernen Sie alle Möglichkeiten, die Zugriff auf vertrauliche Funktionen oder Nutzerdaten bieten, die über die Benutzeroberfläche zugänglich sind.

Option 3: Sorgen Sie dafür, dass Ihr WebView keine vertraulichen Funktionen an nicht vertrauenswürdige Inhalte preisgibt

Wenn Ihre WebView vertrauliche Funktionen enthält, darf sie kein beliebiges JavaScript aus unbekannten Quellen laden und muss die verwendeten Daten oder Funktionen deutlich sichtbar offenlegen. Achten Sie darauf, dass nur streng skalierte URLs und Inhalte, die dem App-Entwickler gehören, in die WebView geladen werden.

Sollte die Sicherheitslücke nicht behoben werden, wird die App wegen möglicher Verstöße gegen die Play-Richtlinien geahndet.

Hilfe und Support

Wenn Sie die Richtlinie gelesen haben und der Meinung sind, dass wir einen Fehler gemacht haben, wenden Sie sich bitte an unser Supportteam für Richtlinien. Sie erhalten innerhalb von zwei Werktagen eine Rückmeldung.

Vielen Dank für Ihre fortwährende Unterstützung – wir möchten, dass Google Play für Entwickler und Kunden sicher ist und Spaß macht.

 

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Suche
Suche löschen
Suche schließen
Hauptmenü
18139617884103822586
true
Suchen in der Hilfe
true
true
true
true
true
92637
false
false