카카오 로그인 메모리덤프 평문 이슈

anon40989833 · 10월 26, 2021, 7:46오전

implementation “com.kakao.sdk:usermgmt:1.15.0”
implementation “com.kakao.sdk:plusfriend:1.15.0”
안녕하세요 montoon 카카오 계정으로 질문 드렸던 내용을 이 계정으로 다시 문의드립니다.
---------------------------------------------------------------------------------------------------------
montoon 문의내용
com.kakao.sdk:v2-user:2.4.2
안녕하세요 보안 관련해서 문의 드립니다.
카카오 WebView를 통해서 로그인을 진행하였고
nox 에뮬레이터(루팅) 기기를 사용하여 fridump3로 메모리덤프를 떠보았습니다.
메모리 덤프에 이메일, 비밀번호가 평문으로 노출됩니다.
해당 문제는 어떻게 해결해야할까요?
---------------------------------------------------------------------------------------------------------
montoon 답변 받았던 내용
안녕하세요.
“카카오 WebView를 통해서 로그인을 진행하였고” 부분을 잘 이해 못했는데요.
제작하신 앱에 'com.kakao.sdk:v2-user:2.4.2’를 적용하시고 카카오 톡으로 로그인 하셨다는 의미인가요? 아니면, 제작하신 앱에서 카카오 로그인시 계정 페이지로 로그인 하신건가요?
모바일 환경에서 카카오톡이 설치되어 있다면 톡으로 인증 시도를 먼저하고 카카오톡이 설치되어 있지 않은 에뮬레이터라면 '카카오 WebView’가 아니라 앱내 웹뷰가 표시되었을것 같은데요.
어떤 테스트 상황인지 조금더 구체적으로 설명 부탁드려요. (캡쳐해주시면 도움이 될 것같습니다.)
'메모리 덤프에 이메일, 비밀번호가 평문’으로 노출되는 상황도 어떤 상황의 덤프인지 확인이 필요한데요.
(WebView면 크롬 브라우저인데, 메모리 덤프로 평문이 표시되는 것도 부연 설명 좀 부탁드립니다.)
답변 주시면 내용 정리해서 관련 부서에 제보하도록 하겠습니다.
확인 부탁드립니다.
앱 ID를알려주시면 추가적으로 내용 파악해보도록 하겠습니다.
앱ID https://developers.kakao.com/ 의 내 애플리케이션>앱 설정>요약 정보 : 기본정보에 있는 앱 ID 숫자로된 ID 입니다~ ex) 123456
---------------------------------------------------------------------------------------------------------
재답변
제작한 앱에 “com.kakao.sdk:usermgmt:1.15.0” 를 적용하였습니다.
nox 에뮬레이터(루팅)은 카카오톡이 다운로드되어 있지 않았습니다.
Session.getCurrentSession().open(AuthType.KAKAO_ACCOUNT , this) 메서드를 호출하여 카카오 뷰를 호출합니다.해당 이미지 처럼 아이디, 패스워드를 입력 후 별다른 동작을 하지 않고 바로 덤프를 뜨면
*이메일, 비밀번호가 덤프에 평문으로 노출됩니다. *
ID : 200210
---------------------------------------------------------------------------------------------------------

tim.l · 10월 26, 2021, 7:59오전

피드백 감사합니다.

카카오톡 웹뷰가 아니라
제작하신 앱내 웹뷰로 카카오 계정 페이지를 띄우고 덤프 뜨셨군요.
띄우신 웹뷰가 어떤 종류인지 확인 가능하실까요?

anon40989833 · 10월 27, 2021, 6:54오전

Session.getCurrentSession().open(AuthType.KAKAO_ACCOUNT, this) 를 통해서 호출하는데 여기서 Session은
kakao SDK의 inner class로 확인했습니다. 첨부한 이미지는 별도로 제작한 커스텀 웹뷰가 아닙니다.

tim.l · 10월 27, 2021, 7:06오전

네, 해당 클래스에서 생성하는 웹뷰는 해당 기기의 기본 웹뷰입니다.
제작하신 앱내에서 코딩하신 것은 아니지만, 기본 웹뷰가 떠서 단지 카카오로그인페이지를 호출하기만합니다.

그래서 해당 에뮬레이터에서 띄우신 기본 웹뷰가 어떤 종류인지에 따라 평문 노출 이유를 판단할 수 있을 것 같아요.

anon40989833 · 10월 27, 2021, 7:56오전

Nox App Player 2021-10-27 16-53-38
확인 해본 결과 애뮬레이터는 android 7.1.2 버전에 WebView 구현 설정은 첨부 된 이미지와 같이 나옵니다.

tim.l · 10월 27, 2021, 7:59오전

네, 확인 감사합니다.
재현 테스트 및 내용 파악 후 상황 공유드리도록 할게요.

anon40989833 · 11월 17, 2021, 12:49오후

언제쯤 결과 받을 수 있을까요?

tim.l · 11월 18, 2021, 4:18오전

안녕하세요.

답변이 늦어서 죄송합니다.
에뮤레이터내 기본브라우저에 입력한 정보를 덤프로 확인할 수 있는 부분 영향에 대해
유관 부서에 문의가 필요한 상황이라 피드백 받고 공유 드리도록 하겠습니다.