앱 보안 개선 프로그램

앱 보안 개선 프로그램은 앱 보안 개선을 위해 Google Play 앱 개발자에게 제공되는 서비스입니다. 이 프로그램에서는 더 안전한 앱을 빌드하기 위한 도움말과 권장사항을 제공하고, Google Play에 앱을 업로드할 때 보안을 개선하는 방법을 파악합니다. 현재까지 개발자들이 이 프로그램을 통해 Google Play에서 100만 개 이상의 앱을 수정했습니다.

운영 방식

Google은 Google Play에서 앱을 승인하기 이전에 잠재적인 보안 문제를 비롯한 앱의 안전과 보안을 검사합니다. 또한 Google Play에 있는 100만 개 이상의 앱을 지속적으로 다시 검사하여 추가적인 위협이 있는지 확인합니다.

앱이 잠재적 보안 문제로 신고된 경우 개발자가 이를 신속하게 해결하고 사용자를 보호할 수 있도록 이를 즉시 알려 드립니다. 이메일과 Google Play Console을 통해 알림을 제공하며 이때 앱 개선 방법을 담은 지원 페이지 링크도 공유합니다.

이러한 알림은 보통 최대한 빨리 앱을 개선하여 사용자에게 제공하기 위한 일정도 포함합니다. 일부 문제의 경우 앱 보안 개선을 해야 업데이트 게시가 가능할 수도 있습니다.

새 버전의 앱을 Google Play Console에 업로드하여 문제가 완전히 해결되었는지 확인할 수 있습니다. 이때 수정된 앱의 버전 번호를 높여야 합니다. 몇 시간 후 Play Console에서 보안 알림이 없다면 모든 준비가 완료된 것입니다.

Play Console에 표시되는 앱의 보안 개선 알림 예

참여하기

이 프로그램의 성공은 Google Play의 앱 개발자 및 보안 커뮤니티와 Google의 파트너십에 달려 있습니다. 안전하고 보안이 철저한 앱을 사용자에게 제공하는 것은 우리 모두의 책임입니다. 의견이나 질문이 있다면 Google Play 개발자 고객센터로 문의해 주시기 바랍니다. 앱의 잠재적 보안 문제를 신고하려면 security+asi@android.com으로 문의해 주세요.

캠페인 및 문제 해결

Google Play에서 개발자에게 신고된 최근 보안 문제는 다음과 같습니다. 취약점 및 문제 해결 세부정보는 각 캠페인의 지원 페이지 링크에서 확인할 수 있습니다.

표 1: 경고 캠페인과 관련 문제 해결 기한

캠페인 시작됨 지원 페이지
유출된 Firebase 클라우드 메시징 서버 키 2021년 10월 12일 지원 페이지
인텐트 리디렉션 2019년 5월 16일 지원 페이지
자바스크립트 인터페이스 삽입 2018년 12월 4일 지원 페이지
스키마 계정 도용 2018년 11월 15일 지원 페이지
교차 앱 스크립팅 2018년 10월 30일 지원 페이지
파일 기반 교차 사이트 스크립팅 2018년 6월 5일 지원 페이지
SQL 삽입 2018년 6월 4일 지원 페이지
경로 순회 2017년 9월 22일 지원 페이지
안전하지 않은 호스트 이름 확인 2016년 11월 29일 지원 페이지
프래그먼트 삽입 2016년 11월 29일 지원 페이지
Supersonic Ad SDK 2016년 9월 28일 지원 페이지
Libpng 2016년 6월 16일 지원 페이지
Libjpeg-turbo 2016년 6월 16일 지원 페이지
Vpon Ad SDK 2016년 6월 16일 지원 페이지
Airpush Ad SDK 2016년 3월 31일 지원 페이지
MoPub Ad SDK 2016년 3월 31일 지원 페이지
OpenSSL('logjam' 및 CVE-2015-3194, CVE-2014-0224) 2016년 3월 31일 지원 페이지
TrustManager 2016년 2월 17일 지원 페이지
AdMarvel 2016년 2월 8일 지원 페이지
Libupup(CVE-2015-8540) 2016년 2월 8일 지원 페이지
Apache Cordova(CVE-2015-5256, CVE-2015-1835) 2015년 12월 14일 지원 페이지
Vitamio Ad SDK 2015년 12월 14일 지원 페이지
GnuTLS 2015년 10월 13일 지원 페이지
Webview SSLErrorHandler 2015년 7월 17일 지원 페이지
Vungle Ad SDK 2015년 6월 29일 지원 페이지
Apache Cordova(CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) 2015년 6월 29일 지원 페이지

표 2: 경고 전용 캠페인(문제 해결 기한 없음)

캠페인 시작됨 지원 페이지
암시적 PendingIntent 2022년 2월 22일 지원 페이지
암시적인 내부 인텐트 2021년 6월 22일 지원 페이지
안전하지 않은 암호화 모드 2020년 10월 13일 지원 페이지
안전하지 않은 암호화 2019년 9월 17일 지원 페이지
압축 파일 경로 순회 2019년 5월 21일 지원 페이지
삽입된 Foursquare OAuth 토큰 2016년 9월 28일 지원 페이지
삽입된 Facebook OAuth 토큰 2016년 9월 28일 지원 페이지
Google Play 결제 가로채기 2016년 7월 28일 지원 페이지
삽입된 Google 갱신 토큰 OAuth 2016년 7월 28일 지원 페이지
개발자 URL 유출 사용자 인증 정보 2016년 6월 16일 지원 페이지
삽입된 키 저장소 파일 2014년 10월 2일
Amazon Web Services 삽입된 사용자 인증 정보 2014년 6월 12일