Deze informatie is bedoeld voor ontwikkelaars met een app die de kwetsbaarheid met gevoelige JavaScript-interfaces bevat.
Wat er gebeurt
Bekijk de melding in de Play Console.
Actie vereist
- Open de e-mailmelding van Google Play die naar het e-mailadres van de accounteigenaar is gestuurd om te zien op welke apps dit van toepassing is en wat de deadlines zijn om deze problemen op te lossen.
- Update de betreffende apps en verhelp de kwetsbaarheid.
- Dien de geüpdatete versies van de betreffende apps in.
Nadat je app opnieuw is ingediend, wordt deze opnieuw beoordeeld. Dit proces kan enkele uren duren. Als de app is goedgekeurd en is gepubliceerd, hoef je verder geen actie te ondernemen. Als de app niet wordt goedgekeurd, wordt de nieuwe app-versie niet gepubliceerd en krijg je een e-mailmelding.
Aanvullende details
Volgens het Beleid voor misbruik van apparaten en netwerken mogen apps of code van derden (zoals SDK's) met JavaScript die tijdens de runtime worden geladen, geen potentiële schendingen van het Beleid voor Play-ontwikkelaars mogelijk maken.
In dit artikel verwijzen we naar elk object dat via de methode addJavascriptInterface van een WebView functionaliteit aan een WebView blootstelt met de term JavaScript-interface, zoals beschreven in de Google Developers-blog over het bouwen van web-apps in WebView.
Door deze kwetsbaarheidsklasse kunnen mogelijke schendingen van het beleid Gebruikersgegevens en Malware plaatsvinden via JavaScript-interfaces. Afhankelijk van de blootgestelde interfaces kan dit leiden tot onverwachte gegevensverzameling en -onderschepping en potentieel schadelijke apps zonder medeweten van de app- of SDK-ontwikkelaar.
We raden je aan deze kwetsbaarheid op een van de volgende manieren voorkomen:
Optie 1: Zorg ervoor dat WebViews geen objecten aan de JavaScript-interface toevoegen
Je moet ervoor zorgen dat WebViews die niet-vertrouwde webcontent laden, geen objecten toevoegen aan de JavaScript-interface. Dit kun je op 2 manieren doen:
- Zorg dat er nooit objecten worden toegevoegd aan de JavaScript-interface via aanroepen aan addJavascriptInterface.
-
Verwijder objecten uit de JavaScript-interface in shouldInterceptRequest via removeJavascriptInterface voordat niet-vertrouwde content wordt geladen door de WebView.
Optie 2: Zorg dat gevoelige functionaliteit niet wordt blootgesteld via een JavaScript-interface
Zorg dat er geen gevoelige functionaliteit (zoals Android API-aanroepen waarvoor rechten zijn vereist) wordt toegevoegd aan JavaScript-interfaces. Voeg dus geen functies toe die gevoelige gegevens verzamelen, zoals informatie over de gebruiker/het apparaat, of die API's blootstellen, zoals toegankelijkheid of sms-berichten. Je kunt deze kwetsbaarheid op meerdere manieren oplossen:
- Je moet alle functionaliteit die gevoelige rechten vereist of gevoelige informatie verzamelt, opnieuw implementeren zodat deze wordt aangeroepen vanuit code die in de app is verpakt. Zorg dat er een prominente kennisgeving wordt geleverd aan gebruikers.
- Verwijder alle functies die toegang bieden tot gevoelige functionaliteit of gebruikersgegevens die toegankelijk zijn vanuit de interface.
Optie 3: Zorg dat je WebView geen gevoelige functionaliteit blootstelt aan niet-vertrouwde content
Als je WebView gevoelige functionaliteit bevat, wordt willekeurig JavaScript misschien niet geladen vanuit onbekende bronnen en moet je een prominente kennisgeving leveren met betrekking tot de gebruikte gegevens of functionaliteit. Zorg dat alleen URL's met een beperkt bereik en content die eigendom is van de app-ontwikkelaar, worden geladen in de WebView.
Als de kwetsbaarheid niet wordt verholpen, wordt handhaving tegen de app afgedwongen vanwege potentiële schendingen van het Play-beleid.
We helpen je graag
Als je het beleid hebt nagelopen en denkt dat onze beslissing fout is, neem je contact op met ons team voor beleidssupport. We nemen binnen 2 werkdagen contact met je op.
Bedankt voor je voortdurende hulp om op Google Play een positieve omgeving te bieden voor zowel ontwikkelaars als consumenten.