앱 보안 개선 프로그램은 앱 보안 개선을 위해 Google Play 앱 개발자에게 제공되는 서비스입니다. 이 프로그램에서는 더 안전한 앱을 빌드하기 위한 도움말과 권장사항을 제공하고, Google Play에 앱을 업로드할 때 보안을 개선하는 방법을 파악합니다. 현재까지 개발자들이 이 프로그램을 통해 Google Play에서 100만 개 이상의 앱을 수정했습니다.
운영 방식
Google은 Google Play에서 앱을 승인하기 이전에 잠재적인 보안 문제를 비롯한 앱의 안전과 보안을 검사합니다. 또한 Google Play에 있는 100만 개 이상의 앱을 지속적으로 다시 검사하여 추가적인 위협이 있는지 확인합니다.
앱이 잠재적 보안 문제로 신고된 경우 개발자가 이를 신속하게 해결하고 사용자를 보호할 수 있도록 이를 즉시 알려 드립니다. 이메일과 Google Play Console을 통해 알림을 제공하며 이때 앱 개선 방법을 담은 지원 페이지 링크도 공유합니다.
이러한 알림은 보통 최대한 빨리 앱을 개선하여 사용자에게 제공하기 위한 일정도 포함합니다. 일부 문제의 경우 앱 보안 개선을 해야 업데이트 게시가 가능할 수도 있습니다.
새 버전의 앱을 Google Play Console에 업로드하여 문제가 완전히 해결되었는지 확인할 수 있습니다. 이때 수정된 앱의 버전 번호를 높여야 합니다. 몇 시간 후 Play Console에서 보안 알림이 없다면 모든 준비가 완료된 것입니다.
Play Console에 표시되는 앱의 보안 개선 알림 예
참여하기
이 프로그램의 성공은 Google Play의 앱 개발자 및 보안 커뮤니티와 Google의 파트너십에 달려 있습니다.
안전하고 보안이 철저한 앱을 사용자에게 제공하는 것은 우리 모두의 책임입니다. 의견이나 질문이 있다면 Google Play 개발자 고객센터로 문의해 주시기 바랍니다. 앱의 잠재적 보안 문제를 신고하려면 [email protected]으로 문의해 주세요.
캠페인 및 문제 해결
Google Play에서 개발자에게 신고된 최근 보안 문제는 다음과 같습니다. 취약점 및 문제 해결 세부정보는 각 캠페인의 지원 페이지 링크에서 확인할 수 있습니다.
표 1: 경고 캠페인과 관련 문제 해결 기한
| 캠페인 | 시작됨 | 지원 페이지 |
|---|---|---|
| 유출된 Firebase 클라우드 메시징 서버 키 | 2021년 10월 12일 | 지원 페이지 |
| 인텐트 리디렉션 | 2019년 5월 16일 | 지원 페이지 |
| 자바스크립트 인터페이스 삽입 | 2018년 12월 4일 | 지원 페이지 |
| 스키마 계정 도용 | 2018년 11월 15일 | 지원 페이지 |
| 교차 앱 스크립팅 | 2018년 10월 30일 | 지원 페이지 |
| 파일 기반 교차 사이트 스크립팅 | 2018년 6월 5일 | 지원 페이지 |
| SQL 삽입 | 2018년 6월 4일 | 지원 페이지 |
| 경로 순회 | 2017년 9월 22일 | 지원 페이지 |
| 안전하지 않은 호스트 이름 확인 | 2016년 11월 29일 | 지원 페이지 |
| 프래그먼트 삽입 | 2016년 11월 29일 | 지원 페이지 |
| Supersonic Ad SDK | 2016년 9월 28일 | 지원 페이지 |
| Libpng | 2016년 6월 16일 | 지원 페이지 |
| Libjpeg-turbo | 2016년 6월 16일 | 지원 페이지 |
| Vpon Ad SDK | 2016년 6월 16일 | 지원 페이지 |
| Airpush Ad SDK | 2016년 3월 31일 | 지원 페이지 |
| MoPub Ad SDK | 2016년 3월 31일 | 지원 페이지 |
| OpenSSL('logjam' 및 CVE-2015-3194, CVE-2014-0224) | 2016년 3월 31일 | 지원 페이지 |
| TrustManager | 2016년 2월 17일 | 지원 페이지 |
| AdMarvel | 2016년 2월 8일 | 지원 페이지 |
| Libupup(CVE-2015-8540) | 2016년 2월 8일 | 지원 페이지 |
| Apache Cordova(CVE-2015-5256, CVE-2015-1835) | 2015년 12월 14일 | 지원 페이지 |
| Vitamio Ad SDK | 2015년 12월 14일 | 지원 페이지 |
| GnuTLS | 2015년 10월 13일 | 지원 페이지 |
| Webview SSLErrorHandler | 2015년 7월 17일 | 지원 페이지 |
| Vungle Ad SDK | 2015년 6월 29일 | 지원 페이지 |
| Apache Cordova(CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) | 2015년 6월 29일 | 지원 페이지 |
표 2: 경고 전용 캠페인(문제 해결 기한 없음)
| 캠페인 | 시작됨 | 지원 페이지 |
|---|---|---|
| 암시적 PendingIntent | 2022년 2월 22일 | 지원 페이지 |
| 암시적인 내부 인텐트 | 2021년 6월 22일 | 지원 페이지 |
| 안전하지 않은 암호화 모드 | 2020년 10월 13일 | 지원 페이지 |
| 안전하지 않은 암호화 | 2019년 9월 17일 | 지원 페이지 |
| 압축 파일 경로 순회 | 2019년 5월 21일 | 지원 페이지 |
| 삽입된 Foursquare OAuth 토큰 | 2016년 9월 28일 | 지원 페이지 |
| 삽입된 Facebook OAuth 토큰 | 2016년 9월 28일 | 지원 페이지 |
| Google Play 결제 가로채기 | 2016년 7월 28일 | 지원 페이지 |
| 삽입된 Google 갱신 토큰 OAuth | 2016년 7월 28일 | 지원 페이지 |
| 개발자 URL 유출 사용자 인증 정보 | 2016년 6월 16일 | 지원 페이지 |
| 삽입된 키 저장소 파일 | 2014년 10월 2일 | |
| Amazon Web Services 삽입된 사용자 인증 정보 | 2014년 6월 12일 |