Google scherpt regels over JavaScript en Python in de Play Store aan
Apps en SDK's met geïntegreerde talen als JavaScript die tijdens de runtime worden geladen, zijn vanaf oktober niet meer welkom in de Play Store. De nieuwe regel is onderdeel van een reeks privacyverbeteringen die Google doorvoert voor zijn appwinkel.
© CC0/Pixabay License
CC0/Pixabay License
Google kondigde woensdag aan zijn beleid voor de Play Store onder handen te nemen, om diverse privacyverbeteringen toe te voegen. The Register signaleert nu dat die wijzigingen onder meer inhouden dat misleidend gebruik van geïnterpreteerde talen als JavaScript, Python en Lua verboden wordt.
Helemaal nieuw is die regel niet, hij wordt vooral aangescherpt, aldus het nieuwsmedium. Eerder zei het bedrijf namelijk alleen dat er geen apps worden toegestaan die "het apparaat van de gebruiker, andere apparaten of computers, servers, netwerken, Application Programming Interfaces (API's) of services, met inbegrip van, maar niet beperkt tot andere apps op het apparaat, een Google-service of het netwerk van een erkende provider, verstoren, onderbreken, beschadigen of daartoe op onbevoegde wijze toegang verkrijgen". Daarnaast werd het al niet toegestaan dat apps zichzelf aanpassen of updaten buiten het updatesysteem van de Play Store zelf.
Google wordt nu specifieker in zijn beleid: "Apps of code van derden (zoals SDK's) met geïnterpreteerde talen (JavaScript, Python, Lua, enzovoort) die tijdens de runtime zijn geladen (bijv. niet verpakt bij de app), mogen geen potentiële schendingen van het Google Play-beleid toestaan." De nieuwe regel gaat op 15 oktober in.
Misbruik via talen
Het feit dat Google regels rondom specifiek deze talen aanscherpt, suggereert dat er veel misbruik van wordt gemaakt. Hoewel Google zelf geen verklaring wilde geven, wijst The Register erop dat Snyk vorig jaar wel een mogelijke verklaring gaf. Het beveiligingsbedrijf meldde toen dat de Mintegral advertising SDK - die Android- en iOS-ontwikkelaars gebruiken om advertenties te tonen in apps - diverse native platform API's en JavaScript-code op iOS misbruikte, om zo te verbergen dat het ook malafide gedrag kon vertonen. De class MTGBaseBridgeWebView - die als achterdeur gebruikt kon worden voor dit gedrag - werd na de publicatie van Snyk verwijderd.
Ook eerder al werd duidelijk dat JavaScript misbruikt kan worden om de regels van appstores te schenden. In 2012 demonstreerden beveiligingsonderzoekers Nicholas Percoco en Sean Schulte tijdens Black Hat hoe ze een WebView-gebaseerde JavaScript bridge konden gebruiken om te praten met native Android API's. Op die manier konden ze malafide functionaliteiten activeren, nadat de app gescand was door de malwarescanner in de Play Store.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee