구글로부터 업데이트 리젝 메일을 받았습니다. 잘 업데이트되고 있었는데 갑자기 메일이 왔네요. 2019년부터 권고했던 사항 같은데 왜 이제 잡는지 모르겠습니다.
문제의 메일을 보니 Cross-app Scriting 이라는 타이틀이 보입니다. 간단하게 말하면 Webview를 사용하고 있는 Activity가 취약점이 발견되어 다른 앱에서 해당 Activity를 공격할 수 있으니 수정하라고 합니다.
그래서 결론은 다른앱에서 해당 Activity를 켤 수 없게 만들면 됩니다. 바로 아래 코드를 AndroidManifest.xml의 Webview를 사용하고 있는 Activity를 찾아 모두 적용해 주면 됩니다.
android:exported="false"
바로 이런식으로 말이죠. 약 5개 Activity에서 웹뷰를 사용하고 있길래 모두 적용해주었습니다. 다른 케이스를 보면 웹뷰를 사용하고 있는 취약한 class까지 명시해주고 메일을 보내는 경우도 있었습니다.
class를 알려주면 해당 액티비티만 수정해주면 될 것 같네요. 저는 알려준 게 아니라서 다 수정했습니다.
혹시 모르니 아래 meta-data도 AndroidManifest 파일에 적용해줬습니다.
<meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
android:value="true" />
반응형
그리드형
