Informasi ini ditujukan bagi developer yang aplikasinya memiliki Kerentanan Antarmuka JavaScript Sensitif.
Yang terjadi
Harap lihat notifikasi di Konsol Play.
Tindakan yang diperlukan
- Buka notifikasi email Google Play yang dikirimkan ke alamat email pemilik akun untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk mengatasi masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah dikirim ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi tidak lulus peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima notifikasi email.
Detail tambahan
Menurut Kebijakan Penyalahgunaan Perangkat dan Jaringan, "Aplikasi atau kode pihak ketiga (mis., SDK) dengan JavaScript yang dimuat di runtime tidak boleh mendukung potensi pelanggaran Kebijakan Developer Play".
Dalam artikel ini, kami merujuk ke setiap objek yang menunjukkan fungsi ke WebView melalui metode addJavascriptInterface di WebView sebagai antarmuka JavaScript, seperti yang dideskripsikan dalam artikel di Blog Google Developers berjudul Membuat aplikasi web di WebView.
Kelas kerentanan ini memungkinkan terjadinya pelanggaran Data Pengguna dan Malware melalui antarmuka JavaScript. Bergantung pada antarmuka yang diekspos, hal ini dapat menyebabkan pengumpulan dan pemindahan data yang tidak terduga dengan aplikasi yang berpotensi membahayakan (PHA) tanpa sepengetahuan developer aplikasi atau SDK.
Sebaiknya Anda mencegah kerentanan ini dengan salah satu cara berikut:
Opsi 1: Pastikan WebView tidak menambahkan Objek ke antarmuka JavaScript
Pastikan tidak ada objek yang ditambahkan ke antarmuka JavaScript untuk WebView apa pun yang memuat konten web tidak tepercaya. Anda dapat melakukannya dengan dua cara:
- Pastikan tidak ada objek yang ditambahkan ke antarmuka JavaScript melalui panggilan ke addJavascriptInterface.
-
Hapus objek dari antarmuka JavaScript di shouldInterceptRequest melalui removeJavascriptInterface sebelum konten tidak tepercaya dimuat oleh WebView.
Opsi 2: Pastikan fungsi sensitif tidak diekspos melalui antarmuka JavaScript
Pastikan fungsi sensitif (seperti panggilan Android API yang memerlukan izin) tidak ditambahkan ke antarmuka JavaScript. Fungsi ini mencakup pengumpulan data sensitif seperti informasi tentang pengguna/perangkat atau mengekspos API seperti aksesibilitas atau pesan SMS. Ada beberapa cara untuk mengatasi kerentanan Anda dengan cara ini:
- Menerapkan kembali setiap fungsi yang memerlukan izin sensitif, atau mengumpulkan informasi sensitif sehingga dipanggil dari kode yang dikemas dalam aplikasi. Pastikan bahwa pengungkapan yang jelas diberikan kepada pengguna.
- Menghapus semua fungsi yang menyediakan akses ke fungsi sensitif atau data pengguna yang dapat diakses dari antarmuka.
Opsi 3: Pastikan WebView tidak menunjukkan fungsi sensitif ke konten yang tidak dipercaya
Jika berisi fungsi sensitif, WebView mungkin tidak memuat JavaScript arbitrer dari sumber tidak dikenal dan harus memberikan pengungkapan yang jelas tentang data atau fungsi yang digunakan. Pastikan hanya URL yang dicakup dengan ketat dan konten yang dimiliki oleh developer aplikasi yang dimuat ke dalam WebView.
Jika kerentanan tidak diperbaiki, aplikasi akan diterapkan untuk kemungkinan pelanggaran kebijakan Play.
Kami siap membantu
Jika Anda telah meninjau kebijakan dan merasa bahwa keputusan kami mungkin keliru, harap hubungi tim dukungan kebijakan kami. Kami akan menghubungi Anda dalam waktu 2 hari kerja.
Terima kasih atas dukungan berkelanjutan Anda dalam membantu Google Play memberikan pengalaman positif bagi developer dan konsumen.