Solução para a vulnerabilidade da interface de JavaScript confidencial

Estas informações destinam-se aos programadores com uma app que contém a vulnerabilidade da interface de JavaScript confidencial.

O que está a acontecer

Consulte o aviso na Play Console

Após os prazos apresentados na Play Console, as apps que contenham vulnerabilidades de segurança não corrigidas podem ser removidas do Google Play.

Ação necessária​

  1. Abra a notificação enviada por email do Google Play para o endereço de email do proprietário da conta para ver quais as apps afetadas e os prazos para resolver estes problemas.
  2. Atualize as apps afetadas e corrija a vulnerabilidade.
  3. Envie as versões atualizadas das aplicações afetadas.

Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação passar na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a app falhar na revisão, a nova versão da mesma não é publicada e recebe uma notificação por email.

Detalhes adicionais

De acordo com a Política de Abuso na Rede e em Dispositivos, "As apps ou o código de terceiros (por exemplo, SDKs) com JavaScript carregado no tempo de execução não podem permitir potenciais violações das Políticas para Programadores do Google Play". 

Neste artigo, referimo-nos a qualquer objeto que exponha a funcionalidade a um WebView através do método addJavascriptInterface de um WebView como interface de JavaScript, conforme descrito no blogue do Google Developers, Criação de apps Web no WebView.

Esta classe de vulnerabilidade permite a ocorrência de potenciais violações de dados do utilizador e de software malicioso através de interfaces de JavaScript. Dependendo das interfaces expostas, tal pode originar a recolha e exfiltração inesperadas de dados, juntamente com aplicações potencialmente prejudiciais, sem o conhecimento do programador da app ou do SDK.

Recomendamos que impeça esta vulnerabilidade de uma das seguintes formas:

Opção 1: certifique-se de que os componentes WebView não adicionam Objetos à interface de JavaScript

Deve certificar-se de que não existem objetos adicionados à interface de JavaScript de qualquer WebView que carrega conteúdo Web não fidedigno. Pode fazê-lo de duas formas:

  1. Garanta que nunca são adicionados objetos à interface de JavaScript através de chamadas para addJavascriptInterface.
  2. Remova os objetos da interface de JavaScript em shouldInterceptRequest através de removeJavascriptInterface antes de o componente WebView efetuar o carregamento de conteúdo não fidedigno.

Opção 2: certifique-se de que a funcionalidade confidencial não é exposta através de uma interface de JavaScript

Certifique-se de que nenhuma funcionalidade confidencial (como chamadas API do Android que requerem autorizações) é adicionada às interfaces de JavaScript. Tal inclui a não recolha de dados confidenciais, como informações sobre o utilizador/dispositivo, ou a não exposição de APIs, como acessibilidade ou mensagens SMS. Existem várias formas de resolver a vulnerabilidade:

  1. Implemente novamente qualquer funcionalidade que exija autorizações confidenciais ou recolha informações confidenciais de modo a ser chamada de código comprimido na aplicação. Certifique-se de que a divulgação proeminente é fornecida aos utilizadores.
  2. Remova todas as funções que dão acesso a funcionalidades confidenciais ou dados do utilizador acessíveis a partir da interface.

Opção 3: certifique-se de que o seu WebView não está a expor funcionalidades confidenciais a conteúdo não fidedigno

Se o seu WebView contém uma funcionalidade confidencial, este não pode carregar JavaScript arbitrário de fontes desconhecidas e tem de incluir uma divulgação destacada dos dados ou da funcionalidade em utilização. Certifique-se de que apenas os URLs de âmbito e o conteúdo pertencente ao programador da app são carregados para o WebView.

Se a vulnerabilidade não for solucionada, será considerado que a app inclui potenciais violações da Política do Google Play.

Estamos aqui para ajudar

Se verificou a política e considera que a nossa decisão está incorreta, contacte a nossa equipa do apoio técnico de políticas. Voltaremos a entrar em contacto consigo dentro de 2 dias úteis.

Agradecemos o seu apoio contínuo para ajudar a tornar o Google Play uma experiência positiva para programadores e consumidores.

 

A informação foi útil?
Como podemos melhorá-la?

Precisa de mais ajuda?

Inicie sessão para obter opções de apoio técnico adicionais e resolver rapidamente o seu problema.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar no Centro de ajuda
true
92637
false