안녕하세요.
당사 앱에서 카카오로그인을 javascript SDK를 사용하여 서비스 중에 있는데요,
최근 한 고객님의 CS로 인입된 건 입니다.
일반적으로는 앱에서 카카오로그인을 수행하게되면 Kakao.Auth.authorize 를 호출하여
카카오 앱이 있을 경우 카카오앱을 띄워주고, 없을 경우 카카오 web login을 띄워주고 있습니다.
CS인입된 고객님의 경우 안드로이드 기기를 사용 중이시며,
(핸드폰 기종 : SM-S908N / 안드버전 : 14 / OS 버전 : 5. 10. 198-android12-9-28575149)
“짤(시즌2)” 라는 앱을 사용 중이십니다.
이때 당사 앱에서 카카오로그인을 수행하면 카카오톡이 실행되는 것이 아니라 “짤(시즌2)” 앱이 호출되는 현상이 있는데,
해당 부분 확인 요청드립니다.
앱 ID : 390365 입니다.
안녕하세요.
해당 앱의 최신 버전을 설치해 보았으나 달리 재현되지 않습니다.
추가로 해당 앱의 AndroidManifest 내용도 살펴 보았으나 카카오톡의 앱 스킴의 부정 사용 또한 발견되지 않았습니다.
재현되지 않아 좀 더 자세한 확인이 필요해 보입니다.
고객님 디바이스에 설치된 해당 앱의 버전 확인 부탁드립니다.
안녕하세요.
# 해당 서비스의 AndroidManifest.xml 중 일부
...
<activity android:exported="true" ...>
<intent-filter ...>
<data android:scheme="intent"/>
...
해당 앱에서 모든 intent scheme을 가로채는 코드가 확인되었습니다.
이를 통해 카카오톡 로그인 관련 스킴을 부정 처리하여 이용자에게 불편함을 주는 것을 확인 하였습니다.
가로챈 스킴 중 카카오 관련 스킴만을 구분하여 따로 이와 같이 처리 하는지 까지는 알기 어렵지만,
이렇게 스킴 처리를 시도하는 앱은 안드로이드 시스템 보안에 매우 위협적일 수 있습니다.
이러한 코드가 포함된 앱이 플레이스토어 심사에 어떻게 통과 하였는지도 의문입니다만
우선, 고객님께는 해당 앱 짤(시즌2)를 삭제 하도록 안내 부탁드립니다.
추가로, 해당 서비스에는 앱을 업데이트 하도록 안내 하겠습니다.