안드로이드 카카오 SDK 보안 취약점 (교차 앱 스크립팅) 경고 대응방안

서비스하는 안드로이드 앱의 플레이스토어 콘솔에서 다음과 같은 경고가 떴습니다.

보안 알림

교차 앱 스크립팅에 취약한 WebView가 앱에 포함되어 있습니다. 자세한 내용은 Google 고객센터 도움말을 확인하세요.

취약한 클래스:

• com.kakao.auth.authorization.authcode.KakaoWebViewActivity->initUi

문제 해결 기한: 02/06/2019

교차 앱 스크립팅 공격에 취약한 클래스가 카카오 모듈 속에 있으므로 개선하라는 명령입니다.

데드라인까지 개선하지 않을 경우 해당 앱의 업데이트가 거절된다는 경고 또한 있었습니다.

찾아본 결과 카카오톡에서 취약점을 픽스한 버전을 이미 배포한 상태였습니다.

https://devtalk.kakao.com/t/sdk/61319

안녕하세요, 카카오입니다. Kakao Developers를 이용해 주셔서 감사드립니다.

카카오 안드로이드 SDK에 Cross-App Scripting 관련 보안 취약점이 발견되었고, 이를 개선하였습니다. 카카오 안드로이드 SDK를 사용하시는 개발자 분들께 보안 취약점이 개선된 1.14.0 버전으로 업데이트를 권고드립니다. 영향을 끼치는 버전은 다음과 같습니다.

• 1.14.0 미만 모든 버전

Cross-App Scripting 취약점이란?
앱 외부의 악의적인 공격자가 악성스크립트가 포함된 조작된 url을 인텐트 등을 통하여 주입하고 이를 웹뷰가 로드하도록 하여 앱 컨텍스트 내의 브라우저 쿠키 등 민감한 정보에 접근할 수 있는 취약점입니다.

이 취약점을 해결하기 위해 SDK에서 사용하는 액티비티들에 불필요하게 설정되었던 인텐트 필터들을 제거하여 외부에서 호출이 불가능하도록 하였습니다. 위 취약점을 해결한 버전을 1.14.0 버전으로 배포하였으니 해당 버전으로 업데이트 하는 것을 권고드립니다.

앞으로도 보안에 더욱 신경쓰는 Kakao Developers가 되겠습니다.
감사합니다.

관련 문서 링크: https://developer.android.com/guide/topics/manifest/activity-element#exported35