Bu bilgi, Hassas JavaScript Arayüzü Güvenlik Açığı içeren bir uygulamaya sahip geliştiriciler için hazırlanmıştır.
Neler oluyor?
Lütfen Play Console'daki bildirimi inceleyin.
İşlem gerekli
- Hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri öğrenmek için hesap sahibinin e-posta adresine gönderilen Google Play e-posta bildirimini açın.
- Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.
Ek bilgiler
Cihazları ve Ağı Kötüye Kullanma Politikası uyarınca, "Çalışma zamanında yüklenen JavaScript içeren uygulamalar veya üçüncü taraf kodları (örneğin SDK'lar), Play Geliştirici Politikalarının olası ihlallerine izin vermemelidir."
Bu makalede, Google Developers Blog'daki Web Görünümü'nde web uygulamaları oluşturma makalesinde açıklandığı şekilde, JavaScript arayüzü olarak Web Görünümü'nde kullanılan addJavascriptInterface yöntemiyle işlevlerini Web Görünümü bileşeninin göreceği şekilde açığa çıkaran tüm öğelere değinilmiştir.
Bu güvenlik açığı sınıfı, JavaScript arayüzleri üzerinden olası Kullanıcı Verileri ve Kötü Amaçlı Yazılım ihlallerini mümkün kılmaktadır. Açık hale gelen arayüzlere bağlı olarak bu durum, uygulama veya SDK geliştiricisinin bilgisi dahilinde olmayan potansiyel zararlı uygulamaların yanı sıra öngörülmeyen veri toplama ve veri hırsızlığı olaylarına yol açabilir.
Bu güvenlik açığını aşağıdaki yöntemlerden birini kullanarak engellemenizi öneririz:
1. Seçenek: Web Görünümlerinin JavaScript arayüzüne Nesne eklemediğinden emin olun
Güvenilir olmayan web içeriği yükleyen herhangi bir Web Görünümü'nün JavaScript arayüzüne hiçbir nesnenin eklenmediğinden emin olmalısınız. Bunu iki şekilde yapabilirsiniz:
- addJavascriptInterface için yapılan çağrılar aracılığıyla JavaScript arayüzüne hiçbir zaman nesne eklenmediğinden emin olun.
-
Güvenilir olmayan içerik Web Görünümü tarafından yüklenmeden önce, JavaScript arayüzünde removeJavascriptInterface yoluyla shouldInterceptRequest içindeki nesneleri kaldırın.
2. Seçenek: Hassas işlevlerin JavaScript arayüzleri üzerinden açığa çıkmadığından emin olun
JavaScript arayüzlerine hiçbir hassas işlevin (izin gerektiren Android API çağrıları gibi) eklenmediğinden emin olun. Kullanıcı/cihaz hakkında bilgiler gibi hassas verilerin toplanmaması veya erişilebilirlik ya da SMS mesajlaşması gibi API'lerin açığa çıkarılmaması buna dahildir. Bu şekilde güvenlik açığınızı gidermenin çeşitli yolları vardır:
- Hassas izinler gerektiren veya hassas bilgiler toplayan tüm işlevleri, uygulama içinde paketlenmiş olan koddan çağrılacak şekilde yeniden uygulayın. Kullanıcılara öne çıkan açıklama sağlandığından emin olun.
- Hassas işlevlere veya kullanıcı verilerine erişim sağlayıp arayüz üzerinden erişilebilir olan tüm işlevleri kaldırın.
3. Seçenek: Hassas işlevlerin Web Görünümünüz tarafından güvenilir olmayan içeriklere açık hale getirilmediğinden emin olun
Web Görünümünüz hassas işlevler içeriyorsa bilinmeyen kaynaklardan rastgele JavaScript yüklememesi ve kullanılan veri ya da işlevler hakkında öne çıkan açıklama sağlaması gerekir. Web Görünümü'ne yalnızca uygulama geliştiricisine ait olup kapsamı katı bir şekilde belirlenmiş olan URL ve içeriklerin yüklendiğinden emin olun.
Güvenlik açığının giderilmemesi halinde olası Play politika ihlalleri nedeniyle uygulamaya yaptırım uygulanır.
Size yardım etmeye hazırız
Politikayı incelediyseniz ve kararımızın hatalı olabileceğini düşünüyorsanız lütfen politika destek ekibimizle iletişime geçin. 2 iş günü içinde size geri dönüş yapılacaktır.
Google Play'i hem geliştiriciler hem de tüketicilerin olumlu deneyim yaşayacakları bir yer haline getirme çalışmalarımıza yaptığınız katkılardan ötürü teşekkür ederiz.