안드로이드 앱 딥링크 취약점 공부하기

#1 딥링크

 - 모바일 웹상에 있는 링크나 그림을 클릭할 경우 기기 내 관련 앱이나 사전에 정의된 특정 웹페이지가 실행되는 모바일 기술이다.

 - 웹에서 사용되는 http://, https:// 와는 다르게 모바일 앱마다 각자 생성한 프로토콜을 사용하고 있어 검증이 미흡한 경우 취약점이 발생 가능하다.

 

#2 딥링크 취약점

 - 모바일 앱마다 개별적으로 생성한 딥링크의 검증부재로 인해 공격자가 조작한 악성 URL 링크에 접속 될 경우, 관련 자바 스크립트가 권한 인증 없이 자동으로 실행되어 의도치 않은 악성 URL에 접속하게 된다.

어플리케이션 내 민감한 개인 정보가 공격자에게 노출 될 위험 존재 !!

 

#3 딥링크 취약점 조치방안

  1) 딥링크 URI 파싱 시 취약점 함수 사용 금지

  2) 인가된 URI에만 자바인터페이스 권한 부여

  3) 도메인 검증을 이용한 우회 방지

  4) URI.parse 함수 사용 시 특수문자 필터링 필요

 

KISA 자료실 -> 가이드 및 매뉴얼 (https://www.krcert.or.kr/data/guideList.do) 자료 첨부 !

딥링크_취약점_관련_조치권고.pdf

0.11MB