Nämä tiedot on tarkoitettu kehittäjille, joiden sovellus sisältää arkaluontoisen JavaScript-käyttöliittymän haavoittuvuuden.
Mistä on kyse?
Lue lisää Play Consolen ilmoituksesta.
Edellyttää toimenpiteitä
- Avaa tilin omistajan sähköpostiosoitteeseen lähetetty Google Play ‑ilmoitus nähdäksesi, mihin sovelluksiin se vaikuttaa, ja määräajat ongelmien ratkaisemiseksi.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
Laitteiden ja verkon väärinkäyttökäytännön mukaan "Suorituksen aikana ladatut JavaScriptia käyttävät sovellukset tai kolmannen osapuolen koodit (esim. SDK:t) eivät saa sallia Playn kehittäjäkäytäntöjen mahdollisia rikkomuksia".
Tässä artikkelissa viitataan mihin tahansa objektiin, joka paljastaa toimintoja WebView'lle addJavascriptInterface-menetelmän kautta (WebView JavaScript-käyttöliittymänä), kuten Google-kehittäjien blogin Building web apps in WebView ‑postauksessa kuvataan.
Tämän haavoittuvuusluokan yhteydessä voi esiintyä mahdollisia käyttäjädataa ja haittaohjelmia koskevia rikkomuksia JavaScript-käyttöliittymien kautta. Vaarantuneista käyttöliittymistä riippuen tämä voi johtaa odottamattomaan datan keräämiseen ja kaappaamiseen sekä mahdollisesti haitallisiin sovelluksiin sovelluksen tai SDK:n kehittäjän tietämättä.
Suosittelemme estämään tämän haavoittuvuuden jollakin seuraavista tavoista:
Vaihtoehto 1: Varmista, että WebView't eivät lisää objekteja JavaScript-käyttöliittymään
Varmista, että minkään epäluotettavaa verkkosisältöä lataavan WebView'n JavaScript-käyttöliittymään ei lisätä objekteja. Sen voi tehdä kahdella tavalla:
- Varmista, että JavaScript-käyttöliittymään ei koskaan lisätä objekteja addJavascriptInterface-metodin kautta.
-
Poista objektit JavaScript-käyttöliittymän kohdasta shouldInterceptRequest removeJavascriptInterface-metodilla ennen kuin WebView lataa epäluotettavaa sisältöä.
Vaihtoehto 2: Varmista, että arkaluontoisia toimintoja ei paljasteta JavaScript-käyttöliittymän kautta
Varmista, että arkaluontoisia toimintoja (kuten lupia edellyttäviä Android-API-kutsuja) ei lisätä JavaScript-käyttöliittymiin. Tähän sisältyy arkaluontoisten tietojen, kuten käyttäjän/laitteen tietojen, kerääminen tai esteettömyys- tai tekstiviestirajapintojen tai muiden vastaavien paljastaminen. On olemassa useita tapoja ratkaista haavoittuvuus tällä tavalla:
- Ota uudelleen käyttöön kaikki toiminnot, jotka edellyttävät arkaluontoisia lupia tai keräävät arkaluontoisia tietoja, jotta ne kutsutaan sovellukseen pakatusta koodista. Varmista, että käyttäjille tarjotaan näkyvä ilmoitus asiasta.
- Poista kaikki toiminnot, jotka tarjoavat pääsyn arkaluontoisiin toimintoihin tai käyttäjädataan, joihin pääsee käyttöliittymästä.
Vaihtoehto 3: Varmista, että WebView ei paljasta arkaluontoisia toimintoja epäluotettavalle sisällölle
Jos WebView sisältää arkaluontoisia toimintoja, se ei välttämättä lataa mielivaltaista JavaScriptiä tuntemattomista lähteistä, ja sen on annettava näkyvä ilmoitus käytetyistä tiedoista tai toiminnoista. Varmista, että vain tarkkaan rajatut URL-osoitteet ja sovelluskehittäjän omistama sisältö ladataan WebView'hun.
Jos haavoittuvuutta ei korjata, sovellus saa sanktioita mahdollisista Playn käytäntörikkomuksista.
Autamme mielellämme
Jos olet tarkastanut käytännön ja päätöksemme on mielestäsi virheellinen, ota yhteyttä käytäntöjen tukitiimiimme. Vastaamme sinulle kahden arkipäivän kuluessa.
Kiitos jatkuvasta tuestasi, joka auttaa tekemään Google Playsta positiivisen kokemuksen sekä kehittäjille että kuluttajille.