Correction de la vulnérabilité de l'interface confidentielle JavaScript

Ces renseignements sont destinés aux développeurs dont l'application contient la vulnérabilité de l'interface confidentielle JavaScript.

Ce qui se passe

Veuillez consulter l'avis dans Play Console

Après les dates limites indiquées dans Play Console, il se peut que les applications qui contiennent des vulnérabilités non résolues soient retirées de Google Play.

Action requise​

  1. Ouvrez la notification par courriel de Google Play envoyé à l'adresse de courriel du propriétaire du compte pour afficher quelles applications sont touchées ainsi que les échéances pour résoudre ces problèmes.
  2. Mettez à jour vos applications touchées et corrigez la vulnérabilité.
  3. Soumettez les versions mises à jour de vos applications touchées.

Lors de la nouvelle soumission, votre application sera réexaminée. Ce processus peut prendre plusieurs heures. Si l'application passe l'examen et qu'elle est publiée correctement, aucune autre action n'est requise. Si l'application échoue à l'examen, la nouvelle version de l'application ne sera pas publiée et vous recevrez une notification par courriel.

Détails supplémentaires

Selon la politique sur l'utilisation abusive des appareils et des réseaux, « les applications ou les codes de tiers (par exemple, les trousses SDK) avec JavaScript chargé au moment de l'exécution ne doivent pas permettre de non-respect potentiel des politiques pour développeurs de Play ». 

Dans cet article, nous faisons référence à tout objet qui expose des fonctionnalités à un composant WebView par la méthode addJavascriptInterface d'un composant WebView en tant qu'interface JavaScript, comme le décrit l'article Build web apps in WebView du blogue Google Developers (en anglais seulement).

Cette classe de vulnérabilité permet au non-respect potentiel des données d'utilisateur et des logiciels malveillants de se produire au moyen d'interfaces JavaScript. Selon les interfaces exposées, cela peut entraîner une collecte et une exfiltration de données imprévues ainsi que des applications potentiellement dangereuses à l'insu du développeur de l'application ou de la trousse SDK.

Nous vous recommandons d'empêcher cette vulnérabilité de l'une des façons suivantes :

Option 1 : S'assurer que les composants WebView n'ajoutent aucun objet à l'interface JavaScript

Assurez-vous qu'aucun objet n'est ajouté à l'interface JavaScript de tout composant WebView qui charge des contenus Web non fiables. Pour ce faire, deux moyens s'offrent à vous :

  1. Assurez-vous qu'aucun objet n'est ajouté à l'interface JavaScript au moyen d'appels à addJavascriptInterface.

  2. Avant que des contenus non fiables soient chargés par le composant WebView, retirez les objets de l'interface JavaScript de shouldInterceptRequest par l'entremise de removeJavascriptInterface.

Option 2 : Vous assurer que la fonctionnalité confidentielle n'est pas exposée au moyen d'une interface JavaScript

Assurez-vous qu'aucune fonctionnalité confidentielle (comme les appels d'API Android requérant des autorisations) n'est ajoutée aux interfaces JavaScript. Cela inclut de ne pas collecter de données confidentielles comme des renseignements sur l'utilisateur ou sur l'appareil, ni d'exposer des API comme l'accessibilité ou la messagerie par texte. Il existe plusieurs façons de résoudre votre vulnérabilité de cette façon :

  1. Mettez de nouveau en œuvre toute fonctionnalité qui requiert des autorisations sensibles ou qui rassemble de l'information confidentielle afin qu'elle soit appelée à partir de l'ensemble du code dans l'application. Assurez-vous que la divulgation importante est fournie aux utilisateurs.
  2. Retirez toutes les fonctions qui permettent d'accéder à des fonctionnalités confidentielles ou à des données d'utilisateur accessibles à partir de l'interface.

Option 3 : Vous assurer que votre composant WebView n'expose aucune fonctionnalité confidentielle à du contenu non fiable

Si votre composant WebView contient des fonctionnalités confidentielles, il est possible qu'il ne charge aucun JavaScript arbitraire à partir de sources inconnues. Il doit fournir une divulgation bien visible des données ou des fonctionnalités utilisées. Assurez-vous que seules les adresses URL et seuls les contenus strictement limités appartenant au développeur de l'application sont chargés dans un composant WebView.

Dans le cas où la vulnérabilité n'est pas corrigée, le non-respect d'une politique potentielle de Play sera appliqué obligatoirement à l'application.

Nous sommes là pour aider

Si vous avez examiné la politique et que vous estimez que notre décision peut être incorrecte, veuillez communiquer avec notre équipe d'assistance responsable des politiques. Nous vous reviendrons dans un délai de deux jours ouvrables.

Merci de votre soutien continu pour aider à faire de Google Play une expérience positive pour les développeurs et les consommateurs.

 

Cela a-t-il été utile?

Comment pouvons-nous améliorer cette page?

Besoin d'aide supplémentaire?

Essayez les étapes suivantes :

Communiquer avec nous Dites-nous-en plus et nous vous aiderons à y arriver
true
Rechercher
Effacer les termes de recherche
Fermer le champ de recherche
Menu principal
7709515306903127881
true
Rechercher dans le Centre d'aide
true
true
true
true
true
92637
false
false