A bizalmas JavaScript-felületi sebezhetőség elhárítása

Ez az információ olyan alkalmazások fejlesztőinek szól, amelyekben bizalmas JavaScript-felületi biztonsági rés található.

Mi történik?

A Play Console felületén lévő értesítésben további információt találsz.

A Play Console felületén látható határidők letelte után eltávolíthatjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a biztonsági sebezhetőség.

Fontos teendő​

  1. Nyisd meg a Google Playtől kapott e-mailes értesítést, amelyet a fióktulajdonos e-mail-címére küldtünk, és nézd meg, mely alkalmazások érintettek, illetve a problémák megoldásának határidejét.
  2. Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Részletek

Az eszközzel és hálózattal való visszaélésről szóló irányelv értelmében „A futtatáskor betöltődő JavaScriptet használó alkalmazások vagy harmadik félhez tartozó kódok (pl. SDK-k) nem tehetik lehetővé a Play fejlesztői irányelvek megsértését”.

Ebben a cikkben minden olyan objektumra, amely funkciókat tesz közzé a WebView számára egy WebView addJavascriptInterface metóduson keresztül, JavaScript-felületként hivatkozunk a Google Developers blogon található Internetes alkalmazások fejlesztése WebView-ban című cikkben foglaltak szerint.

Ez a sebezhetőségi osztály lehetővé teszi a felhasználói adatokkal és a rosszindulatú programokkal kapcsolatos irányelvek megsértését a JavaScript-felületeken keresztül. A nyilvánosságra hozott felületektől függően ez kiszámíthatatlan adatgyűjtéshez és -lopáshoz vezethet a potenciálisan kártékony alkalmazásokkal együtt, az alkalmazás- vagy SDK-fejlesztő tudta nélkül.

Javasoljuk, hogy a sebezhetőséget az alábbi megoldások valamelyikével hárítsd el:

1. lehetőség: Biztosítsd, hogy a WebView-elemek ne adhassanak hozzá objektumokat a JavaScript-felülethez

Akadályozd meg, hogy a nem megbízható internetes tartalmakat betöltő WebView-elemek objektumokat adjanak JavaScript-felületükhöz. Ezt két módon teheted meg:

  1. Biztosítsd, hogy az alkalmazás ne adhasson objektumokat a JavaScript-felülethez az addJavascriptInterface meghívásával.

  2. Távolítsd el az objektumokat a JavaScript-felületről a shouldInterceptRequest elemben a removeJavascriptInterface utasítással, mielőtt a WebView nem megbízható tartalmat töltene be.

2. lehetőség: Gondoskodj arról, hogy a JavaScript-felületen keresztül ne kerüljenek nyilvánosságra bizalmas funkciók

Gondoskodj arról, hogy a bizalmas funkciók (például az engedélyhez kötött Android API-hívások) ne legyenek hozzáadva a JavaScript-felületekhez. Idetartozik többek között, hogy tilos a bizalmas adatok, például a felhasználóval/eszközzel kapcsolatos információk gyűjtése, valamint az accessibility vagy az SMS-üzenetküldéshez használt API-k nyilvánosságra hozatala. Számos módszer áll rendelkezésedre a sebezhetőség elhárításához:

  1. Implementáld újra a bizalmas engedélyekhez kötött vagy bizalmas adatokat gyűjtő funkciókat úgy, hogy az alkalmazásban található kód hívja meg ezeket. Gondoskodj arról, hogy ezt jól látható módon kommunikáld a felhasználók felé.
  2. Távolíts el minden olyan funkciót a felületről, amely hozzáférést biztosít a bizalmas funkciókhoz vagy a felhasználói adatokhoz.

3. lehetőség: Gondoskodj arról, hogy a WebView nem teszi elérhetővé a bizalmas funkciókat nem megbízható tartalmak számára

Ha a Webview bizalmas funkciót tartalmaz, előfordulhat, hogy nem tölt be ismeretlen forrásból származó tetszőleges JavaScriptet, és jól látható nyilatkozatot kell elhelyezni az éppen használatban lévő adatról vagy funkcióról. Gondoskodj arról, hogy kizárólag szigorú hatókörű URL-ek és az alkalmazásfejlesztő tulajdonába tartozó tartalmak töltődjenek be a WebView-ba.

Ha nem hárítod el a sebezhetőséget, akkor az alkalmazás megszegi a Play irányelveit.

Örömmel segítünk!

Ha áttekintetted az irányelvet, és úgy véled, döntésünk téves, fordulj az irányelvekkel foglalkozó ügyfélszolgálati csapatunkhoz. Két munkanapon belül felvesszük veled a kapcsolatot.

Köszönjük, hogy továbbra is segítesz abban, hogy a Google Play a fejlesztők és a fogyasztók számára egyaránt pozitív élményt nyújtson.

 

Hasznosnak találta?

Hogyan fejleszthetnénk?

További segítségre van szüksége?

Próbálja ki a következő lépéseket:

Vegye fel velünk a kapcsolatot Mondja el a részleteket, és segítünk a megoldásban
true
Keresés
Keresés törlése
A keresés bezárása
Főmenü
1703635910327283785
true
Keresés a Súgóoldalakon
true
true
true
true
true
92637
false
false