Soluzione per la vulnerabilità dell'interfaccia JavaScript sensibile

Queste informazioni sono rivolte agli sviluppatori di app che contengono la vulnerabilità dell'interfaccia JavaScript sensibile.

Situazione attuale

Consulta la notifica in Play Console

Dopo le scadenze indicate in Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.

Azione richiesta​

  1. Apri la notifica via email di Google Play inviata all'indirizzo del proprietario dell'account per vedere quali applicazioni sono interessate e le scadenze per risolvere questi problemi.
  2. Aggiorna le app interessate e correggi la vulnerabilità.
  3. Invia le versioni aggiornate delle app interessate.

Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.

Ulteriori dettagli

In base alle norme sull'utilizzo illecito di dispositivi e reti, "Le app o il codice di terze parti (ad esempio gli SDK) con JavaScript caricato in fase di esecuzione non devono consentire potenziali violazioni delle Norme per gli sviluppatori di Google Play." 

In questo articolo ci riferiamo a qualsiasi oggetto esponga la funzionalità a un componente WebView tramite il metodo addJavascriptInterface di un componente WebView come interfaccia JavaScript, in base a quanto descritto nell'articolo del blog Google Developers "Creare app web in WebView".

Questa classe di vulnerabilità può causare potenziali violazioni dei dati utente e malware tramite le interfacce JavaScript. A seconda delle interfacce esposte, questo può portare a una raccolta ed esfiltrazione di dati imprevisti con applicazioni potenzialmente dannose a insaputa degli sviluppatori di app o SDK.

È consigliabile evitare questa vulnerabilità seguendo una delle procedure indicate sotto:

Opzione 1: fai in modo che i componenti WebView non aggiungano Oggetti all'interfaccia di JavaScript

Assicurati che non ci siano oggetti aggiunti all'interfaccia di JavaScript di ciascun componente WebView che carica contenuti web non attendibili. A tale scopo, puoi procedere in uno dei due seguenti modi:

  1. Assicurati che non vengano mai aggiunti oggetti all'interfaccia di JavaScript tramite chiamate a addJavascriptInterface.

  2. Rimuovi oggetti dall'interfaccia JavaScript in shouldInterceptRequest tramite removeJavascriptInterface, prima che vengano caricati contenuti non attendibili dal componente WebView.

Opzione 2: assicurati che la funzionalità sensibile non sia esposta tramite un'interfaccia JavaScript

Assicurati che le funzionalità sensibili (come le chiamate API di Android che richiedono autorizzazioni) non vengano aggiunte alle interfacce JavaScript. Ciò non include la raccolta di dati sensibili come informazioni sull'utente/dispositivo o l'esposizione di API come l'accessibilità o la messaggistica SMS. Esistono diversi modi per risolvere la vulnerabilità:

  1. Implementa nuovamente tutte le funzionalità che richiedono autorizzazioni sensibili o raccolgono informazioni sensibili in modo che vengano chiamate dal codice nel pacchetto dell'applicazione. Assicurati di fornire agli utenti un'informativa in posizione ben visibile.
  2. Rimuovi dall'interfaccia tutte le funzioni che forniscono accesso a funzionalità sensibili o dati utente accessibili.

Opzione 3: assicurati che la tua WebView non mostri funzionalità sensibili per contenuti non attendibili

Se la tua WebView contiene una funzionalità sensibile, potrebbe non caricare un codice JavaScript arbitrario da fonti sconosciute e deve fornire un'informativa ben visibile dei dati o della funzionalità in uso. Assicurati di caricare nella WebView soltanto gli URL con ambito limitato e i contenuti di proprietà dello sviluppatore dell'app.

Se la vulnerabilità non viene corretta, all'app verranno applicate in modo forzato misure per risolvere potenziali violazioni delle norme di Google Play.

Siamo a tua disposizione

Se, dopo aver esaminato le norme, ritieni che la nostra decisione possa essere stata presa erroneamente, contatta il nostro team di assistenza per le norme. Ti risponderemo entro 2 giorni lavorativi.

Ti ringraziamo per il tuo continuo contributo al fine di rendere Google Play un'esperienza positiva sia per gli sviluppatori sia per i consumatori.

 

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
3873691570485492816
true
Cerca nel Centro assistenza
true
true
true
true
true
92637
false
false