안드로이드 개발자 모임 게시판
(글 수 7,952)
9월인가 10월부터 갑자기 보안알림이 와서 보니
보안 알림
애플리케이션에 WebViewClient.onReceivedSslError 핸들러가 안전하지 않은 방식으로 구현되었습니다. 특히 해당 구현은 모든 SSL 인증서 확인 오류를 무시하여 앱을 중개인 공격에 취약하게 만듭니다. 공격자는 영향을 받은 WebView의 콘텐츠를 변경하고, 전송된 데이터(예: 로그인 사용자 인증 정보)를 읽고, 자바스크립트를 사용해 앱 내부에서 코드를 실행할 수 있습니다.
SSL 인증서를 제대로 확인하려면 서버에서 제공하는 인증서가 요구사항을 충족할 때마다 코드를 변경하여 SslErrorHandler.proceed()을(를) 호출하고 그렇지 않으면 SslErrorHandler.cancel()을(를) 호출합니다. 대상 앱 및 클래스를 포함하는 이메일 알림이 개발자 계정 주소로 전송됩니다.
이런게 와있는데 구글링 결과 onReceivedSslError를 오버라이드하라고 하는데
내부에 어떤식으로 코드가 들어가야 구글에서 알림을 안보내는걸까요.
구글링 해보면 대부분이 오버라이드해서
handler.proceed();
이걸 호출해서 에러무시하고 진행하라는데
이렇게해도 계속 알림이 오더라구요. 뭔가 조건에따라 proceed()랑 cancel()을 호출해야하는것같은데
어떤 데이터로 체크해야할지 모르겠네요;
저도 같은 경고를 받았었는데요.
onReceivedSslError를 오버라이드하여서
내부적으로
switch(error.getPrimaryError())
{
case SslError.SSL_EXPIRED:
sb.append("이 사이트의 보안 인증서는 신뢰할 수 없습니다.\n");
break;
case SslError.SSL_IDMISMATCH:
sb.append("이 사이트의 보안 인증서는 신뢰할 수 없습니다.\n");
break;
case SslError.SSL_NOTYETVALID:
sb.append("이 사이트의 보안 인증서는 신뢰할 수 없습니다.\n");
break;
case SslError.SSL_UNTRUSTED:
sb.append("이 사이트의 보안 인증서는 신뢰할 수 없습니다.\n");
break;
default:
sb.append("보안 인증서에 오류가 있습니다.\n");
break;
}
이런 처리를 해서 업데이트를 올리니 경고가 사라졌습니다.