교차 앱 스크립팅에 취약한 WebView가 앱에 포함되어 있습니다. 자세한 내용은 Google 고객센터 도움말을 확인하세요.
취약한 클래스:
com.kakao.auth.authorization.authcode.KakaoWebViewActivity->initUi
카카오 sdk 는 최신 버전인 1.15.1 로 최근에 업데이트를 한 상태입니다.
그런데도 위와 같이 메세지가 계속 나옵니다.
위와 같은 제보를 받은 적이 있는데 다시 문의를 해보니 이미 배포된 옛버전 때문이고 보안 알림이 곧 사라졌다는 연락을 받았었는데요. 이 부분 조금 더 기다려 보시겠어요? 1.15.1 버전 포함된 앱 배포된게 언제인가요?
배포일은 18년 12월 28일입니다.
그런데 원래 처음에는 버전 코드 40에 영향을 준다라고 되 있었는데 (업그레이드 전)
고쳐서 올린 후에 현재는 41 버전에 영향을 준다 라고 나오거든요… 41이 현재 최신 버전 코드인데…
어쩄든 며칠 걸리는 거면 더 기다려 보겠습니다.
아… 원인을 찾은 것 같습니다.
제가 코드는 정상 적으로 다 최신 버전으로 업데이트 했는데
menifest 부분이 예전 것으로 그대로 되어 있어서
최신 버전과 비교를 해보니 intent-filter 가 최신 버전에는 삭제되어 있네요…
그래서 최신 버전 내용으로 수정을 했습니다.
아직 스토어에 업데이트를 하지는 않았는데, 확인 후 결과 알려드리겠습니다.
아 SDK에서 사용하는 KakaoWebViewActivity를 manifest에 직접 추가하셨나요?
아뇨 예전 sdk 버전에는 KakaoWebViewActivity 에 intent-filter 가 있었는데 최신 버전에는 없어서요.
제가 menifest 수정을 안해서 그런것 같습니다.
네 구글에서 해당 인텐트 필터 관련해서 보안 권고를 받은 것이라서 필요 없는 부분이기 때문에 삭제한 거거든요. SDK를 업데이트 하게 되면 manifest에서 자동으로 빠져서 직접 수정하실 필요가 없을텐데 ㅠㅠ 어쨋든 확인 후 알려주시면 정말 감사하겠습니다!
저희가 카카오 sdk 소스 코드를 같이 묶어서 빌드하는 방식으로 구현을 해서요…
기존 올린 버전이 소스는 업데이트가 되었지만 menifest 가 변경이 안 되었습니다.
어제 menifest 쪽에 KakaoWebViewActivity 의 intent-filter 를 삭제하고 앱 업데이트를 했는데요.
올리고 나서는 바로 변화는 없었는데 오늘 아침에 보니 보안 권고문이 사라져 있는 걸 확인 했습니다.
수고하세요.
1개의 좋아요