Denne informasjonen er beregnet på utviklere med apper som er sårbare for det sensitive sikkerhetsproblemet i JavaScript-grensesnittet.
Hva skjer?
Les varselet i Play-konsollen.
Dette må du gjøre
- Åpne e-postvarselet for Google Play som er sendt til kontoeierens e-postadresse, for å se hvilke apper som er berørt, samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetsproblemet.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis appene godkjennes etter gjennomgangen og publiseres, trenger du ikke å gjøre noe mer. Hvis de ikke godkjennes, blir ikke de nye appversjonene publisert, og du mottar et varsel på e-post.
Flere detaljer
I henhold til retningslinjene for uriktig bruk av enheter og nettverk: «Apper eller kode fra tredjeparter (f.eks. SDK-er) med JavaScript som lastes inn under kjøring, skal ikke tillate potensielle brudd på retningslinjene for utviklere på Play.»
I denne artikkelen henviser vi til alle objekter som avdekker funksjonalitet til en WebView via addJavascriptInterface-metoden i en WebView som et JavaScript-grensesnitt, som beskrevet i innlegget «Utvikling av nettprogrammer i WebView» på Google Developers-bloggen.
Denne typen sikkerhetsproblemer tillater potensielle brudd på retningslinjene for brukerdata og skadelig programvare gjennom JavaScript-grensesnitt. Avhengig av de avdekte grensesnittene kan dette føre til uansvarlig innsamling og uttrekking av data i tillegg til potensielt skadelige apper uten at appen eller SDK-utvikleren er klar over det
Vi anbefaler at du forhindrer dette sikkerhetsproblemet på én av disse måtene:
Alternativ 1: Sørg for at WebView-komponenter ikke legger til objekter i JavaScript-grensesnittet
Sørg for at ingen objekter er lagt til i JavaScript-grensesnittet for WebView-komponenter som laster inn uklarert nettinnhold. Du kan gjøre dette på to måter:
- Sørg for at ingen objekter noensinne blir lagt til i JavaScript-grensesnittet via kall til addJavascriptInterface.
-
Fjern objekter fra JavaScript-grensesnittet i shouldInterceptRequest via removeJavascriptInterface før innhold som ikke er klarert, lastes inn av WebView.
Alternativ 2: Kontroller at sensitiv funksjonalitet ikke er synlig via JavaScript-grensesnitt
Sørg for at eventuelle sensitive funksjoner (f.eks. Android API-kall som krever tillatelser) ikke legges til i JavaScript-grensesnitt. Dette omfatter ikke innhenting av sensitive data, for eksempel informasjon om brukeren/enheten eller avdekking av API-er, for eksempel tilgjengelighet eller SMS-meldinger. Du kan løse sikkerhetsproblemet slik på flere måter:
- Implementer funksjonalitet som krever sensitive tillatelser eller samler inn sensitiv informasjon, på nytt, slik at funksjonalitet kalles fra koden i pakken. Sørg for at brukerne er sikret fremtredende plassering.
- Fjern eventuelle funksjoner som gir tilgang til sensitiv funksjonalitet eller brukerdata som er tilgjengelige via grensesnittet.
Alternativ 3: Sørg for at WebView-en ikke avdekker sensitiv funksjonalitet til innhold som ikke er klarert
Hvis WebView-en inneholder sensitiv funksjonalitet, er det ikke sikkert at den laster inn tilfeldig JavaScript-kode fra ukjente kilder, og da må den oppgi fremtredende informasjon om dataene eller funksjonaliteten som brukes. Sørg for at bare strengt avgrensede nettadresser og innhold som eies av apputvikleren, lastes inn i WebView-en.
Hvis sikkerhetsproblemet ikke blir løst, fører det til sanksjoner mot appen på grunn av potensielle brudd på Play-retningslinjene.
Vi er her for å hjelpe deg
Hvis du har gjennomgått retningslinjene og mener at det kan ha skjedd en feil, kan du kontakte brukerstøtteteamet for retningslinjer. Vi kontakter deg innen to virkedager.
Takk for støtten i arbeidet med å gjøre Google Play til en positiv opplevelse for både utviklere og forbrukere.