Résoudre une faille liée à une interface JavaScript sensible

Ces informations sont destinées aux développeurs d'applications présentant une faille liée à une interface JavaScript sensible.

Que se passe-t-il ?

Veuillez consulter la notification dans la Play Console.

Passé les délais indiqués dans la Play Console, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.

Action requise

  1. Ouvrez la notification Google Play envoyée à l'adresse e-mail du titulaire du compte pour savoir quelles applications sont concernées et connaître les délais à respecter pour résoudre ces problèmes.
  2. Mettez à jour les applications concernées et corrigez la faille.
  3. Envoyez les versions mises à jour des applications concernées.

Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée et vous recevrez une notification par e-mail.

Informations supplémentaires

Conformément aux Règles sur l'utilisation abusive des appareils et des réseaux, "les applications ou le code tiers (par exemple, les SDK) avec JavaScript chargé au moment de l'exécution ne doivent pas permettre une infraction potentielle au règlement pour les développeurs de Google Play." 

Dans cet article, nous faisons référence à tout objet qui expose une fonctionnalité à une WebView via la méthode addJavascriptInterface d'une WebView en tant qu'interface JavaScript, comme décrit dans l'article "Développer des applications Web dans une WebView" du Blog Google Developers.

Cette classe de failles permet une infraction potentielle aux règles sur les données utilisateur et les logiciels malveillants via des interfaces JavaScript. Selon les interfaces exposées, cette situation peut conduire à une collecte et à une exfiltration imprévues de données, ainsi qu'à des applications potentiellement dangereuses sans que le développeur du SDK ou de l'application en question ne le sache.

Nous vous recommandons de corriger cette faille en appliquant l'une des méthodes suivantes :

Option 1 : Assurez-vous que les classes WebView n'ajoutent pas d'objets à l'interface JavaScript

Vous devez vous assurer qu'aucun objet WebView chargeant du contenu Web non approuvé n'est ajouté à l'interface JavaScript. Pour cela, vous avez le choix entre deux méthodes :

  1. Assurez-vous qu'aucun objet n'est ajouté à l'interface JavaScript à l'aide de la méthode addJavascriptInterface.
  2. Supprimez les objets de l'interface JavaScript dans shouldInterceptRequest via removeJavascriptInterface avant que le contenu non approuvé soit chargé dans WebView.

Option 2 : Assurez-vous qu'aucune fonctionnalité sensible n'est exposée via une interface JavaScript

Vérifiez que les fonctionnalités sensibles (telles que les appels d'API Android nécessitant des autorisations) ne sont pas ajoutées aux interfaces JavaScript. Par exemple, vous ne devez pas recueillir de données sensibles, comme des informations sur l'utilisateur ou l'appareil, ni exposer des API telles que les API d'accessibilité ou de SMS. Vous pouvez corriger cette faille de plusieurs façons :

  1. Réimplémentez les fonctionnalités qui nécessitent des autorisations sensibles ou recueillent des informations sensibles pour qu'elles soient appelées à partir du code inclus dans le package de l'application. Assurez-vous de respecter les exigences concernant la visibilité des communiqués pour les utilisateurs.
  2. Supprimez toutes les fonctions qui donnent accès à des fonctionnalités sensibles ou à des données utilisateur accessibles depuis l'interface.

Option 3 : Assurez-vous que votre WebView n'expose pas de fonctionnalités sensibles à du contenu non approuvé

Si votre WebView contient des fonctionnalités sensibles, il est possible qu'elle ne charge pas du code JavaScript arbitraire provenant de sources inconnues. Elle doit également afficher des communiqués visibles concernant les données ou des fonctionnalités qui vont être utilisées. Assurez-vous que seuls les URL et le contenu restreints détenus par le développeur de l'application sont chargés dans la WebView.

Si la faille n'est pas corrigée, l'application fera l'objet d'une mesure pour non-respect potentiel du règlement de Google Play.

Nous sommes là pour vous aider

Si, après avoir lu le règlement, vous pensez que notre décision a été prise à tort, veuillez contacter notre équipe d'assistance spécialiste des règles. Nous vous répondrons dans un délai de deux jours ouvrés.

Nous vous remercions de votre fidélité, qui nous permet de continuer à offrir une expérience positive aux développeurs et aux utilisateurs dans Google Play.

 

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
392951411307942224
true
Rechercher dans le centre d'aide
true
true
true
true
true
92637
false
false