보안개구리
7. 안전하지 않은 웹 뷰 실행(작성 중) 본문
[개 요]
웹 뷰(WebView)는 안드로이드 개발 시 주로 웹브라우저에서 보이는 화면을 표시하거나 웹 앱 혹은 하이브리드 앱을 개발시 사용됩니다. 웹 뷰를 사용하기 위해서는 인터넷에 엑세스할 수 있는 권한이 필요한데 해당 권한으로 인하여 취약점이 발생할 수 있습니다.
[진단 방법]
1) Android.Manifest.xml 파일 확인 시 인터넷 사용권한이 존재합니다. 이럴경우 사용자의 민감 정보가 외부 서버로 전송되어 개인 정보, 금융 정보 등이 유출될 수 있고 피싱 공격의 위험성이 존재합니다.
[대응 방안]
웹 뷰 취약점의 경우 구글에서 안드로이드 4.3 젤리빈 이하 환경에서의 보안 패치를 중단하였습니다. 때문에 안전한 웹 뷰를 구현하기 위해서는 안드로이드 4.4 킷캣 이상의 버전을 사용해야 하며, 웹 뷰에서 자바스크립트를 사용 시 기존의 'addJavascriptInterface'로 호출하여 사용하는 방식을 1.7 버전 이후에는 'android.webkit.JavascriptInterface'로 호출하여 사용하도록 되어 있다.
'앱 진단(Android) > Insecurebank 실습' 카테고리의 다른 글
| 8. 취약한 암호화 실행 (0) | 2024.07.08 |
|---|---|
| 6. 안전하지 않은 컨텐츠 프로바이더 접근 (0) | 2024.07.08 |
| 5. 루팅 탐지 및 우회 (0) | 2024.07.08 |
| 4. 액티비티 컴포넌트 취약점 (0) | 2024.07.07 |
| 3. 로컬 암호화 이슈(Local Encryption Issue) (0) | 2024.07.07 |
'앱 진단(Android)/Insecurebank 실습' Related Articles
more
