Αποκατάσταση για την ευπάθεια ευαίσθητης διεπαφής JavaScript

Αυτές οι πληροφορίες προορίζονται για προγραμματιστές με μια εφαρμογή που περιέχει την ευπάθεια ευαίσθητης διεπαφής JavaScript.

Τι συμβαίνει

Ανατρέξτε στην ειδοποίηση στο Play Console

Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές που περιέχουν ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί θα καταργηθούν από το Google Play.

Απαιτούμενη ενέργεια​

  1. Ανοίξτε το μήνυμα ηλεκτρονικού ταχυδρομείου από το Google Play που στάλθηκε στη διεύθυνση ηλεκτρονικού ταχυδρομείου του κατόχου του λογαριασμού, για να δείτε ποιες εφαρμογές έχουν επηρεαστεί και τις προθεσμίες για την επίλυση αυτών των προβλημάτων.
  2. Ενημερώστε τις επηρεαζόμενες εφαρμογές και διορθώστε την ευπάθεια.
  3. Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.

Μετά την επανυποβολή, η εφαρμογή σας θα ελεγχθεί ξανά. Αυτή η διαδικασία μπορεί να διαρκέσει αρκετές ώρες. Εάν ο έλεγχος της εφαρμογής ολοκληρωθεί χωρίς προβλήματα και η εφαρμογή δημοσιευτεί με επιτυχία, τότε δεν απαιτείται καμία άλλη ενέργεια. Εάν ο έλεγχος της εφαρμογής αποτύχει, τότε η νέα έκδοση της εφαρμογής δεν θα δημοσιευτεί και θα λάβετε σχετική ειδοποίηση με ένα μήνυμα ηλεκτρονικού ταχυδρομείου.

Πρόσθετα στοιχεία

Σύμφωνα με την Πολιτική κατάχρησης συσκευών και δικτύου, "Εφαρμογές ή κώδικας τρίτου μέρους (για παράδειγμα, SDK) με JavaScript που φορτώνεται κατά τον χρόνο εκτέλεσης (runtime) δεν πρέπει να επιτρέπουν πιθανές παραβάσεις των πολιτικών για προγραμματιστές του Play." 

Σε αυτό το άρθρο θεωρούμε ως διεπαφή JavaScript όλα τα αντικείμενα που προβάλλουν λειτουργικότητα σε μια Προβολή στον ιστό μέσω της μεθόδου addJavascriptInterface μιας Προβολής στον ιστό, όπως περιγράφεται στο άρθρο Δημιουργία εφαρμογών ιστού στην Προβολή στον ιστό του ιστολογίου Google Developers.

Αυτή η κατηγορία ευπαθειών επιτρέπει την ύπαρξη πιθανών παραβάσεων σχετικά με δεδομένα χρηστών και κακόβουλα προγράμματα μέσω των διεπαφών JavaScript. Με βάση τις διεπαφές που έχουν προβληθεί, αυτό μπορεί να οδηγήσει σε μη αναμενόμενη συλλογή και μη εξουσιοδοτημένη εξαγωγή δεδομένων καθώς και σε δυνητικά επιβλαβείς εφαρμογές, χωρίς να το γνωρίζει ο προγραμματιστής της εφαρμογής ή του SDK.

Σας συνιστούμε να αποτρέψετε αυτήν την ευπάθεια με έναν από τους παρακάτω τρόπους:

Επιλογή 1: Διασφαλίστε ότι τα WebView δεν προσθέτουν αντικείμενα στη διεπαφή JavaScript

Πρέπει να διασφαλίσετε ότι δεν έχουν προστεθεί αντικείμενα στη διεπαφή JavaScript οποιουδήποτε WebView που φορτώνει μη αξιόπιστο περιεχόμενο ιστού. Αυτό μπορεί να πραγματοποιηθεί με δύο τρόπους:

  1. Διασφαλίστε ότι δεν προστίθενται ποτέ αντικείμενα στη διεπαφή JavaScript μέσω κλήσεων στη μέθοδο addJavascriptInterface.

  2. Καταργήστε αντικείμενα από τη διεπαφή JavaScript στο shouldInterceptRequest μέσω του removeJavascriptInterface πριν από τη φόρτωση μη αξιόπιστου περιεχομένου από την Προβολή στον ιστό.

Επιλογή 2: Βεβαιωθείτε ότι οι ευαίσθητες λειτουργίες δεν προβάλλονται μέσω μιας διεπαφής JavaScript

Βεβαιωθείτε ότι τυχόν ευαίσθητες λειτουργίες (όπως οι κλήσεις Android API που απαιτούν άδειες) δεν έχουν προστεθεί σε διεπαφές JavaScript. Αυτό περιλαμβάνει τη μη συλλογή ευαίσθητων δεδομένων, όπως πληροφορίες σχετικά με τον χρήστη/τη συσκευή ή την προβολή API, όπως είναι η προσβασιμότητα ή η ανταλλαγή μηνυμάτων SMS. Υπάρχουν πολλοί τρόποι για να επιλύσετε την ευπάθεια με αυτόν τον τρόπο:

  1. Υλοποιήστε ξανά οποιαδήποτε λειτουργικότητα απαιτεί άδειες πρόσβασης σε ευαίσθητες πληροφορίες ή συλλέγει ευαίσθητες πληροφορίες, ώστε να καλείται από κώδικα που περιέχεται στο πακέτο της εφαρμογής. Βεβαιωθείτε ότι παρέχεται εμφανής αποκάλυψη στους χρήστες.
  2. Καταργήστε τυχόν λειτουργίες που παρέχουν πρόσβαση σε ευαίσθητη λειτουργικότητα ή δεδομένα χρήστη τα οποία είναι προσβάσιμα από τη διεπαφή.

Επιλογή 3: Βεβαιωθείτε ότι η Προβολή στον ιστό δεν προβάλλει ευαίσθητη λειτουργικότητα σε μη αξιόπιστο περιεχόμενο

Εάν η Προβολή στον ιστό περιέχει ευαίσθητη λειτουργικότητα, δεν πρέπει να φορτώνει αυθαίρετο κώδικα JavaScript από άγνωστες πηγές και πρέπει να παρέχει εμφανή αποκάλυψη για τα δεδομένα ή τη λειτουργικότητα που χρησιμοποιεί. Βεβαιωθείτε ότι στην Προβολή στον ιστό φορτώνονται μόνο URL αυστηρού εύρους και περιεχόμενο που ανήκει στον προγραμματιστή της εφαρμογής.

Σε περίπτωση μη αποκατάστασης της ευπάθειας, θα ληφθούν μέτρα ενάντια στην εφαρμογή για πιθανές παραβάσεις της πολιτικής του Play.

Είμαστε εδώ για να σας βοηθήσουμε

Εάν διαβάσατε την πολιτική και πιστεύετε ότι η απόφασή μας ενδέχεται να είναι λανθασμένη, επικοινωνήστε με την ομάδα υποστήριξης για πολιτικές. Θα επικοινωνήσουμε μαζί σας εντός 2 εργάσιμων ημερών.

Σας ευχαριστούμε για τη συνεχή υποστήριξη και τη βοήθεια που προσφέρετε για να γίνει το Google Play μια θετική εμπειρία, τόσο για τους προγραμματιστές όσο και για τους καταναλωτές.

 

Σας βοήθησε αυτό;

Με ποιον τρόπο μπορούμε να το βελτιώσουμε;

Χρειάζεστε περισσότερη βοήθεια;

Δοκιμάστε αυτά τα επόμενα βήματα:

Επικοινωνήστε μαζί μας Πείτε μας περισσότερα ώστε να μπορέσουμε να σας βοηθήσουμε
true
Αναζήτηση
Διαγραφή αναζητήσεων
Κλείσιμο αναζήτησης
Κύριο μενού
9434123047683313560
true
Αναζήτηση στο Κέντρο Βοήθειας
true
true
true
true
true
92637
false
false