Android WebViewClient.onReceivedSslError 취약점 경고 관련

bres.jeon · 10월 29, 2019, 1:33오전

SDK 버전 1.24.0 기준으로 빌드된 APK에 대해
Google Play Support 에서
SSL Error Handler alerts을 보내왔습니다.

https://support.google.com/faqs/answer/7071387

내용은
WebViewClient.onReceivedSslError 구현 관련 SSL_UNTRUSTED 처리와 관련된 것으로 보여지는데
mapping.txt를 확인해보니
com.kakao.auth.authorization.authcode.KakaoWebViewActivity$KakaoWebViewClient 에서
구현되어 있는 것으로 보여집니다.

SDK 1.25.0 버전에서 해결이 된 문제인지
수정/업데이트가 필요한 부분인지 확인하고 싶습니다.

anon81369599 · 12월 6, 2019, 7:36오전

앗 아니요… 1.26.0 버전에서 업데이트될 예정입니다 ㅠ.ㅠ 아마 onReceivedSslError() 콜백에서 유저의 의사를 물어 진행을 선택할 경우 handler.proceed() 를 진행하는 로직에 문제가 있나보네요… 이 에러 메시지를 유저에게 알리고. handler.cancel() 을 통하여 진행 불가하도록 하는 쪽으로 변경될 예정입니다.

bres.jeon · 12월 6, 2019, 8:32오전

관련 정보 업데이트가 늦었습니다.
Google Play Support의 alert 의 대상 클래스가 Kakao 관련 클래스가 아닌 것으로 최종 확인되었습니다.

잘못된 정보로 혼선을 드려 죄송합니다.