Ove su informacije namijenjene razvojnim programerima aplikacija koje su izložene ranjivosti osjetljivog JavaScript sučelja.
Što se događa
Pogledajte obavijest na Play konzoli.
Potrebna je radnja
- Otvorite obavijest e-poštom Google Playa poslanu na e-adresu vlasnika računa da biste vidjeli koje su aplikacije podložne ranjivostima i rokove do kada morate riješiti te probleme.
- Ažurirajte zahvaćene aplikacije i popravite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
U skladu s pravilima o zloupotrebi uređaja i mreže, "aplikacije ili kôd treće strane (na primjer SDK-ovi) s JavaScriptom učitanim u vrijeme pokretanja ne smiju dopuštati potencijalna kršenja pravila za razvojne programere Playa".
U ovom članku svaki objekt koji web-prikazu otkriva funkciju metodom web-prikaza addJavascriptInterface nazivamo JavaScript sučelje, kao što je opisano u članku o razvijanju web-aplikacija u web-prikazu na Google Developers Blogu.
Ta klasa ranjivosti omogućuje potencijalna kršenja korisničkih podataka i zlonamjernog softvera putem JavaScript sučelja. Ovisno o izloženim sučeljima, to može dovesti do neočekivanog prikupljanja i neovlaštenog izvlačenja podataka te potencijalno štetnih aplikacija bez znanja razvojnog programera aplikacije ili SDK-a.
Preporučujemo da spriječite tu ranjivost na jedan od sljedećih načina:
1. opcija: onemogućite da WebViews dodaju objekte u JavaScript sučelje
Onemogućite dodavanje objekata u JavaScript sučelje za bilo koji WebView koji učitava nepouzdani web-sadržaj. To možete učiniti na dva načina:
- Onemogućite dodavanje objekata u JavaScript sučelje pozivanjem addJavascriptInterface.
-
Uklonite objekte iz JavaScript sučelja u shouldInterceptRequest putem removeJavascriptInterface prije nego što web-prikaz učita nepouzdani sadržaj.
2. opcija: onemogućite otkrivanje osjetljive funkcije putem JavaScript sučelja
Onemogućite dodavanje osjetljivih funkcija (kao što su pozivi Android API-ju za koje su potrebna dopuštenja) na JavaScript sučelja. To ne uključuje prikupljanje osjetljivih podataka kao što su podaci o korisniku/uređaju ili izloženi API-ji kao što su pristupačnost ili slanje SMS poruka. Postoji više načina na koje možete riješiti ranjivost:
- Ponovo primijenite sve funkcije za koje su potrebna dopuštenja za osjetljive podatke ili koje prikupljaju osjetljive podatke tako da se pozivaju iz koda unutar aplikacije. Provjerite da korisnici primaju istaknutu otkrivajuću objavu.
- Uklonite sve funkcije koje pružaju pristup osjetljivim funkcijama ili korisničkim podacima kojima se može pristupiti putem sučelja.
3. opcija: onemogućite web-prikazu otkrivanje osjetljivih funkcija nepouzdanom sadržaju
Ako vaš web-prikaz sadrži osjetljive funkcije, možda neće učitati proizvoljni JavaScript iz nepoznatih izvora i mora pružiti istaknutu otkrivajuću objavu o podacima ili funkciji koji se upotrebljavaju. Pazite da se u web-prikaz učitavaju samo strogo ograničen broj URL-ova i sadržaj u vlasništvu razvojnog programera aplikacije.
Ako se ranjivost ne ukloni, na aplikaciju će se primijeniti mjere zbog potencijalnih kršenja pravila Playa.
Rado ćemo vam pomoći
Ako ste proučili pravila i smatrate da je naša odluka pogrešna, obratite se našem korisničkoj podršci za pravila. Odgovorit ćemo vam u roku od dva radna dana.
Hvala vam na kontinuiranoj podršci u pomaganju da Google Play bude pozitivno iskustvo za razvojne programere i korisnike.