앱에서 Airpush 취약점을 해결하는 방법

8.1, 8.11, 8.12, 8.13 4.4.0 이전 버전의 Airpush 광고 플랫폼을 활용하는 앱 개발자를 위한 정보입니다. 이러한 버전에는 보안 취약점이 있습니다. 최대한 빨리 앱을 8.1, 8.11, 8.12, 8.13 버전 이상으로 이전하고 업그레이드된 APK의 버전 번호를 올리시기 바랍니다.

현재 상태

2016년 7월 11일부터 Google Play에서는 Airpush의 이전 버전을 사용하는 신규 앱과 업데이트의 게시를 차단했습니다. Play Console 공지사항을 참조하세요. Play Console에 표시된 기한이 지난 후에도 보안 취약점이 수정되지 않은 앱은 모두 Google Play에서 삭제될 수 있습니다.

필요한 조치​

  1. Play Console에 로그인한 후 알림 섹션으로 이동하여 영향을 받는 앱과 문제 해결 기한을 확인합니다.
  2. 영향을 받는 앱을 업데이트하여 취약점을 수정합니다.
  3. 영향을 받는 앱의 업데이트된 버전을 제출합니다.

다시 제출하면 앱은 다시 검토 절차를 거치게 되며 이 절차는 몇 시간 정도 걸릴 수 있습니다. 앱이 검토 과정을 통과하고 게시가 완료되면 더 이상의 조치가 필요하지 않습니다. 앱이 검토 과정을 통과하지 못할 경우 새로운 앱 버전은 게시되지 않으며 이메일 알림을 받게 됩니다.

추가 세부정보

취약점은 8.1, 8.11, 8.12, 8.13 버전에서 해결되었습니다. 최신 버전의 Airpush SDK는 Airpush 개발자 포털에서 다운로드할 수 있습니다. SDK 버전 및 ZIP 파일에 포함된 'readme.txt' 파일의 출시 날짜를 모두 확인하여 버전 번호를 확인하세요. 해당 버전의 통합 문서 링크는 8.1, 8.11, 8.12, 8.13입니다.

업그레이드에 관한 자세한 내용은 Airpush 계정에 로그인한 후 헬프데스크 링크를 통해 Airpush에 문의하시기 바랍니다. Airpush를 번들로 제공하는 타사 라이브러리를 사용 중인 경우 8.1, 8.11, 8.12, 8.13 이상을 번들로 제공하는 버전으로 업그레이드해야 합니다. 

취약점은 기본 WebView 설정을 확인하지 않아서 발생합니다. 공격자가 광고 소재에 악성 자바스크립트 코드를 게재하여 이 취약점을 이용함으로써 기기의 민감한 로컬 개인 정보 자료가 있다는 사실을 추측할 수 있게 합니다. API 16 이전 버전을 사용하는 Android 기기의 경우 공격자가 로컬 자료에도 액세스할 수 있습니다. 취약점과 관련된 다른 기술적인 질문은 Stack Overflow에 게시하되, 이때 'android-security' 및 'Airpush' 태그를 추가하세요.

이러한 문제가 Airpush를 사용하는 모든 앱에 영향을 주는 것은 아니지만, 모든 보안 패치를 최신 상태로 유지하는 것이 가장 좋습니다. 사용자를 보안 위험에 노출시키는 취약점이 있는 앱은 Google의 악의적 행위 정책 및 개발자 배포 계약의 4.4항을 위반하는 것으로 간주될 수 있습니다.

또한 앱은 개발자 배포 계약개발자 프로그램 정책을 준수해야 합니다. 

도움이 필요하신가요?

취약점에 관한 기술적인 문의사항이 있다면 'android-security' 태그를 사용하여 Stack Overflow에 게시해 주시기 바랍니다. 문제 해결 절차에 관해 궁금하신 점이 있으면 Google 개발자 지원팀에 문의하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?