Queste informazioni sono rivolte agli sviluppatori di app che contengono la vulnerabilità dell'interfaccia JavaScript sensibile.
Situazione attuale
Consulta la notifica in Play Console.
Azione richiesta
- Apri la notifica via email di Google Play inviata all'indirizzo del proprietario dell'account per vedere quali applicazioni sono interessate e le scadenze per risolvere questi problemi.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle app interessate.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
In base alle norme sull'utilizzo illecito di dispositivi e reti, "Le app o il codice di terze parti (ad esempio gli SDK) con JavaScript caricato in fase di esecuzione non devono consentire potenziali violazioni delle Norme per gli sviluppatori di Google Play."
In questo articolo ci riferiamo a qualsiasi oggetto esponga la funzionalità a un componente WebView tramite il metodo addJavascriptInterface
di un componente WebView come interfaccia JavaScript, in base a quanto descritto nell'articolo del blog Google Developers "Creare app web in WebView".
Questa classe di vulnerabilità può causare potenziali violazioni dei dati utente e malware tramite le interfacce JavaScript. A seconda delle interfacce esposte, questo può portare a una raccolta ed esfiltrazione di dati imprevisti con applicazioni potenzialmente dannose a insaputa degli sviluppatori di app o SDK.
È consigliabile evitare questa vulnerabilità seguendo una delle procedure indicate sotto:
Opzione 1: fai in modo che i componenti WebView non aggiungano Oggetti all'interfaccia di JavaScript
Assicurati che non ci siano oggetti aggiunti all'interfaccia di JavaScript di ciascun componente WebView che carica contenuti web non attendibili. A tale scopo, puoi procedere in uno dei due seguenti modi:
- Assicurati che non vengano mai aggiunti oggetti all'interfaccia di JavaScript tramite chiamate a addJavascriptInterface.
-
Rimuovi oggetti dall'interfaccia JavaScript in shouldInterceptRequest tramite removeJavascriptInterface, prima che vengano caricati contenuti non attendibili dal componente WebView.
Opzione 2: assicurati che la funzionalità sensibile non sia esposta tramite un'interfaccia JavaScript
Assicurati che le funzionalità sensibili (come le chiamate API di Android che richiedono autorizzazioni) non vengano aggiunte alle interfacce JavaScript. Ciò non include la raccolta di dati sensibili come informazioni sull'utente/dispositivo o l'esposizione di API come l'accessibilità o la messaggistica SMS. Esistono diversi modi per risolvere la vulnerabilità:
- Implementa nuovamente tutte le funzionalità che richiedono autorizzazioni sensibili o raccolgono informazioni sensibili in modo che vengano chiamate dal codice nel pacchetto dell'applicazione. Assicurati di fornire agli utenti un'informativa in posizione ben visibile.
- Rimuovi dall'interfaccia tutte le funzioni che forniscono accesso a funzionalità sensibili o dati utente accessibili.
Opzione 3: assicurati che la tua WebView non mostri funzionalità sensibili per contenuti non attendibili
Se la tua WebView contiene una funzionalità sensibile, potrebbe non caricare un codice JavaScript arbitrario da fonti sconosciute e deve fornire un'informativa ben visibile dei dati o della funzionalità in uso. Assicurati di caricare nella WebView soltanto gli URL con ambito limitato e i contenuti di proprietà dello sviluppatore dell'app.
Se la vulnerabilità non viene corretta, all'app verranno applicate in modo forzato misure per risolvere potenziali violazioni delle norme di Google Play.
Siamo a tua disposizione
Se, dopo aver esaminato le norme, ritieni che la nostra decisione possa essere stata presa erroneamente, contatta il nostro team di assistenza per le norme. Ti risponderemo entro 2 giorni lavorativi.
Ti ringraziamo per il tuo continuo contributo al fine di rendere Google Play un'esperienza positiva sia per gli sviluppatori sia per i consumatori.