Ця інформація призначена для розробників, чиї додатки містять загрозу безпеці, пов’язану з доступністю чутливих даних через інтерфейси JavaScript.
У чому проблема
Перегляньте сповіщення в Play Console.
Потрібна дія
- Відкрийте сповіщення електронною поштою від Google Play, надіслане власнику облікового запису, щоб дізнатися, яких додатків стосується проблема та до якої дати її слід вирішити.
- Усуньте загрозу безпеці й оновіть відповідні додатки.
- Надішліть оновлені версії цих додатків.
Коли ви надішлете оновлені версії, ми знову перевіримо їх. Це може зайняти кілька годин. Якщо додаток буде успішно перевірено й опубліковано, більше нічого не потрібно робити. Якщо додаток не пройде перевірку, його нову версію не буде опубліковано, а ви отримаєте сповіщення електронною поштою.
Додаткова інформація
Відповідно до правил щодо зловживання пристроєм і мережею, додатки або код сторонніх розробників (наприклад, SDK), під час виконання яких завантажується JavaScript, мають унеможливлювати ймовірні порушення правил Google Play.
У цій статті під інтерфейсами JavaScript маються на увазі будь-які об’єкти, що надають компоненту WebView доступ до функцій додатка за допомогою методу addJavascriptInterface, як описано в блозі розробників Google.
Проблемні інтерфейси JavaScript загрожують порушеннями, що пов’язані з даними користувачів і зловмисним програмним забезпеченням. Залежно від характеру інтерфейсів цей клас загрози безпеці може призвести до непередбачуваного збору, незаконного отримання й потенційно шкідливого застосування даних без відома розробника додатка чи SDK.
Радимо усунути цю загрозу за допомогою однієї із запропонованих нижче дій.
Варіант 1. Переконайтеся, що компоненти WebView не додають об’єкти до інтерфейсу JavaScript
Подбайте про те, щоб у компонентах WebView, що завантажують ненадійний веб-контент, не надавався доступ до об’єктів через інтерфейси JavaScript. Це можна зробити двома способами.
- Переконайтеся, що об’єкти взагалі не додаються в інтерфейс JavaScript через виклики addJavascriptInterface.
-
Застосуйте методи shouldInterceptRequest і removeJavascriptInterface, щоб вилучити об’єкти з інтерфейсу JavaScript, перш ніж компонент WebView завантажить ненадійний контент.
Варіант 2. Переконайтеся, що через інтерфейс JavaScript не надається доступ до чутливих функцій
Подбайте про те, щоб інтерфейси JavaScript не містили чутливих функцій (наприклад, викликів Android API, для яких потрібні дозволи). Зокрема, це стосується збирання чутливих даних (на зразок інформації про користувачів чи пристрої) і доступу до API, наприклад для спеціальних можливостей чи обміну SMS. Усунути загрозу безпеці можна кількома способами.
- Якщо в додатка є функції, що збирають чутливі дані або вимагають дозволи на доступ до таких даних, реалізуйте їх виклик через внутрішній код додатка. Переконайтеся, що додаток містить чітке повідомлення про використання персональних даних.
- Вилучіть функції, які надають доступ до чутливих функцій, і виключіть доступ до даних користувача через інтерфейс.
Варіант 3. Переконайтеся, що компонент WebView не надає доступу до чутливих функцій ненадійному контенту
Якщо компонент WebView містить чутливі функції, він не може завантажувати довільні коди JavaScript із невідомих джерел і має надавати повідомлення про використання особистих даних або застосування відповідних функцій. Переконайтеся, що в компоненті WebView завантажуються лише чітко визначені URL-адреси та контент, який належить розробнику додатка.
Якщо загрозу безпеці не буде усунено, додаток вважатиметься таким, що порушує правила Google Play.
Ми завжди готові допомогти
Якщо ви ознайомилися з правилами та вважаєте наше рішення помилковим, зверніться в службу підтримки. Ми зв’яжемося з вами протягом 2 робочих днів.
Дякуємо, що допомагаєте нам дбати про безпечність і зручність Google Play для розробників і користувачів.