Приложение имеет Webview с фильтрами намерений, чтобы открыть приложение по applink. И первое решение об изменении значения (exported = false) неверно. Что мне делать?
Устранение уязвимости, связанной с написанием сценариев кросс-приложения .
Что происходит .
Одно или несколько ваших приложений содержат крест WebView -Приложение сценариев проблема, которая может позволить вредоносным приложениям украсть пользовательские куки и другие данные. Пожалуйста, обратитесь к уведомлению на игровой консоли. По истечении сроков, указанных в консоли Play, любые приложения, содержащие нефиксированные уязвимости безопасности, могут быть удалены из Google Play.
** Требуется действие **.
1. Войдите в свою консоль Play и Перейдите в раздел «Предупреждения», чтобы узнать, какие приложения подвержены уязвимости, и сроки их устранения.
2. Обновите уязвимые приложения и устраните уязвимость.
3. Отправьте обновленные версии уязвимых приложений.
После повторной отправки ваше приложение будет снова рассмотрено. Этот процесс может занять несколько часов. Если приложение проходит проверку и успешно опубликовано, дальнейших действий не требуется. Если приложение не проходит проверку, новая версия приложения не будет опубликована, и вы получите уведомление по электронной почте.
Дополнительные сведения .
Веб-представления, которые включают JavaScript и загружают данные, считанные из ненадежных Интентов, могут быть обмануты вредоносными приложениями для выполнения кода JavaScript в небезопасном контексте. Мы рекомендуем вам предотвратить эту уязвимость одним из следующих способов:
Вариант 1. Убедитесь, что затронутые действия не экспортируются .
Поиск действий с уязвимыми веб-представлениями. Если для этих действий не требуется извлекать содержимое из других приложений, вы можете установить android: exported = false для действий в своем манифесте. Это гарантирует, что вредоносные приложения не смогут отправлять вредоносные входные данные в какие-либо веб-представления в этих действиях.
Вариант 2. Защита веб-просмотров в экспортированных действиях .
Если вы хотите установить действие с уязвимым WebView как экспортированное, то мы рекомендуем вам внести следующие изменения:
- Обновите ваш targetSdkVersion.
Убедитесь, что ваш targetSdkVersion соответствует Требование целевого уровня API Google Play. Приложения с targetSdkVersion, равным 16 или ниже, оценивают URL-адреса JavaScript, переданные loadUrl в контексте текущей загруженной страницы. Ориентация на SDK версии 16 или ниже и вызов loadUrl с использованием неанализованного ввода от ненадежных Intents позволяет злоумышленникам выполнять вредоносные сценарии в уязвимом WebView. - Защита вызовов для оценки Javascript.
Убедитесь, что параметры для оценки Javascript всегда доверяют Вызов метода оценки Javascript с использованием неанализованного ввода от ненадежных Intents позволяет злоумышленникам выполнять вредоносные сценарии в уязвимом WebView. - Предотвращать небезопасную загрузку файлов.
Убедитесь, что затронутые WebViews не могут загрузить базу данных cook ie. Веб-представления, которые загружают неанализованный файл: // URL-адреса из ненадежных компонентов могут быть атакованы вредоносными приложениями следующим образом. Вредоносная веб-страница может записать теги в базу данных cookie, а затем вредоносное приложение может отправить Intent с файлом: // URL-адрес, указывающий на вашу базу данных cookie WebView. Вредоносный скрипт будет выполняться, если база данных cookie загружена в WebView, и может украсть информацию о сеансе. Вы можете убедиться, что затронутые WebViews не смогут загрузить базу данных cookie WebView двумя способами. Вы можете либо отключить доступ ко всем файлам, либо проверить, что любой загруженный файл: // URL-адреса указывают на безопасные файлы. Обратите внимание, что злоумышленник может использовать символьную ссылку c для хитрых проверок пути URL. Чтобы предотвратить такую атаку, обязательно проверьте канонический путь любого ненадежного файла: // URL перед загрузкой, а не просто проверяйте путь URL.