인앱 결제 취약점

인앱 결제가 취약하게 구현된 앱의 개발자를 위해 작성된 내용입니다. 

앱에서 인텐트 대상 패키지를 설정하지 않고 인앱 결제 서비스를 호출하는 경우 악의적인 패키지가 Play 스토어 구매 시스템을 우회하여 앱 데이터에 액세스할 수 있습니다.

해결 방법:

  1. IabHelper를 사용하는 경우 최신 SDK를 사용해 주시기 바랍니다. 
  2. 수동으로 인앱 결제 서비스를 호출하는 경우 모든 'com.android.vending.billing.InAppBillingService.BIND' 인텐트에 Intent.setPackage('com.android.vending')를 호출하는지 확인하시기 바랍니다.
  3. Developer Console에 로그인하고 업데이트된 버전의 앱을 제출합니다. 
  4. 5시간이 지난 뒤 다시 확인하세요. 앱이 제대로 업데이트되지 않은 경우 경고 메시지가 표시됩니다. 
     

다른 기술 관련 질문이 있으면 'android-security' 태그를 추가하여 Stack Overflow에 게시하세요. Play 정책 관련 질문은 Stack Overflow에 게시해서는 안 된다는 점에 유의하세요.

또한 앱은 개발자 배포 계약콘텐츠 정책을 준수해야 합니다. Google에서 이 취약점 경고를 잘못 발송했다고 생각되면 Google Play 개발자 고객센터를 통해 Google 지원팀에 문의하시기 바랍니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?