[공지] 카카오 안드로이드 sdk 보안 취약점 개선 안내

안녕하세요, 카카오입니다. Kakao Developers를 이용해 주셔서 감사드립니다.

카카오 안드로이드 SDK에 Cross-App Scripting 관련 보안 취약점이 발견되었고, 이를 개선하였습니다. 카카오 안드로이드 SDK를 사용하시는 개발자 분들께 보안 취약점이 개선된 1.14.0 버전으로 업데이트를 권고드립니다. 영향을 끼치는 버전은 다음과 같습니다.

• 1.14.0 미만 모든 버전

Cross-App Scripting 취약점이란?
앱 외부의 악의적인 공격자가 악성스크립트가 포함된 조작된 url을 인텐트 등을 통하여 주입하고 이를 웹뷰가 로드하도록 하여 앱 컨텍스트 내의 브라우저 쿠키 등 민감한 정보에 접근할 수 있는 취약점입니다.

이 취약점을 해결하기 위해 SDK에서 사용하는 액티비티들에 불필요하게 설정되었던 인텐트 필터들을 제거하여 외부에서 호출이 불가능하도록 하였습니다. 위 취약점을 해결한 버전을 1.14.0 버전으로 배포하였으니 해당 버전으로 업데이트 하는 것을 권고드립니다.

앞으로도 보안에 더욱 신경쓰는 Kakao Developers가 되겠습니다.
감사합니다.

관련 문서 링크: https://developer.android.com/guide/topics/manifest/activity-element#exported

안녕하세요? 크로스앱스크립팅 문제와 관련하여 문의드립니다.
1.14.0 버전으로 업데이트 진행했음에도 불구하고,
첨부이미지에서처럼 보안알림이 계속 뜨고 있습니다.
다른 해결방법이 있을지 궁금합니다.

업데이트 후에는 뜨지 않아야 할텐데요… 이 부분은 카카오 쪽에서 구글코리아에 직접 문의 해본 후 상황 업데이트를 해드려야할 것 같아요. 최대한 빨리 업데이트 드릴 수 있도록 하겠습니다. 불편을 드려 죄송합니다.

현재 버전 android sdk 1.15.1 업데이트 한 이후에도 아래와 같은 에러가 지속적으로 발생합니다. 언제쯤 해결이 가능할지 알고 싶어 문의 드립니다.

교차 앱 스크립팅에 취약한 WebView가 앱에 포함되어 있습니다.
취약한 클래스: com.kakao.auth.authorization.authcode.KakaoWebViewActivity->initUi
문제 해결 기한: 02/06/2019

안녕하세요

동일한 문제에 직면했는데
몇 버전으로 진행해야
보안알림이 뜨는걸 피할 수 있을까요 ?

현재, 앱 수정본을 업데이트를 못하고 있습니다…ㅠㅠ