IABv3 샘플 코드에 보안 위험성이 발견되었습니다! 혹시 IABv3 샘플 코드를 바로 복붙 해서 사용하고 계신가요? 샘플코드에 포함되어 있는 유틸리티 라이브러리에 버그가 있어서, 간단한 방법으로 클라이언트 쪽에서의 Verification 을 무력화 시키는 버그가 발견되었습니다. 해당 이슈는 이미 최신 버전 샘플에서는 수정되어 있지만, 혹시 10월 8일 이전 버전의 IABv3 샘플코드를 그대롤 복붙해서 사용하고 계신 개발자분들이 있으면 얼른 얼른 업데이트 하시길 권장 드립니다 :) 자세한 내용은 다음 링크를 확인해보시면 좋을거 같구요. sufficientlysecure.org/index.php/2013/10/29/google-play-billing-hacked/ 간단하게 문제점을 설명드리자면.. 1. 보안 결함은 IABv3 자체가 아니라 샘플에서 사용하고 있는 헬퍼 클래스에서 발견되었으며, 패치하실 내용은 샘플 중 두 가지 헬퍼 클래스 입니다. (실제 앱에서 사용하고 있는 경우에 한해서) - /v3/src/com/example/android/trivialdrivesample/util/IabHelper.java - /v3/src/com/example/android/trivialdrivesample/util/Security.java 수정된 부분은 명백한 버그로, Security 클래스의 verifyPurchase 메서드 호출 시 signature 가 빈 경우 true 를 반환하는 부분 그리고 IabHelper 의 startSetup 메서드에서 명시적으로 package 네임을 설정하는 부분이 빠져있어서 임의의 서비스 (예를 들어 크래커가 만든)가 해당 intent 를 가로챌 수 있습니다. 실제 변경 사항은 다음 링크에서 확인 하실 수 있으며, https://code.google/p/marketbilling/source/detail?r=7bc191a004483a1034b758e1df0bda062088d840 해당 메서드를 실제 앱에서 사용하고 있는 경우에 한해서 코드를 수정하시면 됩니다. 2. 해당 내용을 수정하지 않을 경우, 사용자가 특정 서비스를 단말에 설치한 경우, 헬퍼 클래스의 verifyPurchase 가 항상 true 값을 반환할 수 있습니다. 해당 메서드를 기준으로 Purchas 성공 / 실패를 판단하고 있는 경우, 사용자가 정상적으로 구매하지 않은 경우에도 아이템을 획들 할 수 있습니다.
Posted on: Tue, 29 Oct 2013 16:36:18 +0000