การแก้ไขช่องโหว่ในอินเทอร์เฟซ JavaScript ที่มีความละเอียดอ่อน

ข้อมูลนี้มีไว้สำหรับนักพัฒนาแอปที่มีแอปซึ่งมีช่องโหว่ในอินเทอร์เฟซ JavaScript ที่มีความละเอียดอ่อน

สิ่งที่จะเกิดขึ้น

โปรดดูประกาศใน Play Console 

หลังพ้นกำหนดเวลาที่แสดงใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่ได้รับการแก้ไขออกจาก Google Play

สิ่งที่ต้องดำเนินการ​

  1. เปิดการแจ้งเตือนทางอีเมลของ Google Play ที่ส่งไปยังอีเมลของเจ้าของบัญชีเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
  2. อัปเดตแอปที่ได้รับผลกระทบและแก้ไขช่องโหว่
  3. ส่งเวอร์ชันอัปเดตของแอปที่ได้รับผลกระทบ

แอปของคุณจะได้รับการตรวจสอบอีกครั้งเมื่อมีการส่งใหม่ ขั้นตอนนี้อาจใช้เวลาหลายชั่วโมง หากแอปผ่านการตรวจสอบและเผยแพร่เรียบร้อยแล้ว คุณก็ไม่ต้องดำเนินการใดๆ เพิ่มเติม หากแอปไม่ผ่านการตรวจสอบ จะไม่มีการเผยแพร่แอปเวอร์ชันใหม่และคุณจะได้รับการแจ้งเตือนทางอีเมล

รายละเอียดเพิ่มเติม

ตามนโยบายการละเมิดด้านอุปกรณ์และเครือข่าย "แอปหรือโค้ดของบุคคลที่สาม (เช่น SDK) ซึ่งมี JavaScript ที่โหลดตอนรันไทม์ต้องไม่ทำให้เกิดการละเมิดนโยบายสำหรับนักพัฒนาแอป Play" 

ในบทความนี้เราจะพูดถึงออบเจ็กต์ใดก็ตามที่เปิดเผยฟังก์ชันการทำงานใน WebView ผ่านเมธอด addJavascriptInterface ของ WebView เป็นอินเทอร์เฟซ JavaScript ตามที่อธิบายไว้ในบล็อก Google Developers ในหัวข้อ "การสร้างเว็บแอปใน WebView"

ช่องโหว่ประเภทนี้ทำให้มีโอกาสเกิดการละเมิดด้านข้อมูลผู้ใช้และมัลแวร์ผ่านอินเทอร์เฟซ JavaScript ซึ่งอาจนำไปสู่การรวบรวมและการขโมยข้อมูลที่ไม่ได้คาดการณ์ไว้ ตลอดจนแอปที่อาจเป็นอันตรายโดยที่นักพัฒนาแอปหรือ SDK ไม่ทราบ ทั้งนี้ขึ้นอยู่กับอินเทอร์เฟซที่มีการเปิดเผย

เราขอแนะนำให้คุณป้องกันช่องโหว่นี้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้

ตัวเลือกที่ 1: ตรวจสอบว่า WebView ไม่ได้เพิ่มออบเจ็กต์ในอินเทอร์เฟซ JavaScript

ตรวจสอบว่าไม่มีการเพิ่มออบเจ็กต์ใดในอินเทอร์เฟซ JavaScript ของ WebView ที่โหลดเนื้อหาเว็บที่ไม่น่าเชื่อถือ โดยทำได้ 2 วิธีดังนี้

  1. ตรวจสอบว่าไม่มีการเพิ่มออบเจ็กต์ใดๆ เลยในอินเทอร์เฟซ JavaScript ผ่านการเรียกใช้ addJavascriptInterface
  2. นำออบเจ็กต์ออกจากอินเทอร์เฟซ JavaScript ใน shouldInterceptRequest ผ่าน removeJavascriptInterface ก่อนที่ WebView จะโหลดเนื้อหาที่ไม่น่าเชื่อถือ

ตัวเลือกที่ 2: ตรวจดูว่าไม่มีการเปิดเผยฟังก์ชันการทำงานที่มีความละเอียดอ่อนผ่านอินเทอร์เฟซ JavaScript

ตรวจสอบว่าไม่มีการเพิ่มฟังก์ชันการทำงานที่มีความละเอียดอ่อน (เช่น การเรียก Android API ที่ต้องใช้สิทธิ์) ลงในอินเทอร์เฟซ JavaScript ซึ่งรวมถึงการไม่รวบรวมข้อมูลที่ละเอียดอ่อนอย่างเช่น ข้อมูลเกี่ยวกับผู้ใช้/อุปกรณ์หรือการเปิดเผย API เช่น การช่วยเหลือพิเศษหรือการรับส่งข้อความ SMS โดยคุณสามารถแก้ไขช่องโหว่ได้หลายวิธีดังนี้

  1. นำฟังก์ชันการทำงานที่ต้องใช้สิทธิ์ที่มีความละเอียดอ่อนหรือรวบรวมข้อมูลที่ละเอียดอ่อนไปใช้อีกครั้ง เพื่อให้มีการเรียกจากโค้ดที่อยู่ในแพ็กเกจของแอปพลิเคชัน ตรวจดูว่ามีการเปิดเผยข้อมูลอย่างชัดเจนต่อผู้ใช้
  2. นำฟังก์ชันที่ให้สิทธิ์เข้าถึงฟังก์ชันการทำงานที่มีความละเอียดอ่อนหรือข้อมูลผู้ใช้ที่เข้าถึงได้จากอินเทอร์เฟซออก

ตัวเลือกที่ 3: ตรวจดูว่า WebView ไม่ได้เปิดเผยฟังก์ชันการทำงานที่มีความละเอียดอ่อนต่อเนื้อหาที่ไม่น่าเชื่อถือ

หาก WebView มีฟังก์ชันการทำงานที่มีความละเอียดอ่อน WebView ต้องไม่โหลด JavaScript ที่กำหนดเองจากแหล่งที่มาที่ไม่รู้จักและต้องระบุการเปิดเผยข้อมูลอย่างชัดเจนเกี่ยวกับข้อมูลหรือฟังก์ชันการทำงานที่มีการใช้งาน ตรวจดูว่ามีการโหลดเฉพาะ URL ที่กำหนดขอบเขตอย่างเคร่งครัดและเนื้อหาของนักพัฒนาแอปใน WebView

ในกรณีที่ไม่มีการแก้ไขช่องโหว่ จะมีการบังคับใช้นโยบายกับแอปเนื่องจากอาจเป็นการละเมิดนโยบายของ Play

เราพร้อมช่วยเหลือคุณ

หากคุณได้ทบทวนนโยบายแล้วรู้สึกว่าเราอาจตัดสินใจผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเรา เราจะติดต่อกลับไปหาคุณภายใน 2 วันทำการ

ขอขอบคุณที่ให้การสนับสนุนเราเรื่อยมาเพื่อช่วยให้นักพัฒนาแอปและผู้บริโภคได้รับประสบการณ์การใช้งานที่ดีจาก Google Play

 

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร

หากต้องการความช่วยเหลือเพิ่มเติม

ลงชื่อเข้าใช้เพื่อดูตัวเลือกการสนับสนุนเพิ่มเติมในการแก้ไขปัญหาของคุณอย่างรวดเร็ว

true
ค้นหา
ล้างการค้นหา
ปิดการค้นหา
แอป Google
เมนูหลัก
ค้นหาศูนย์ช่วยเหลือ
true
92637
false
false