구글 플레이스토어 보안 취약성 문제를 포함하는 OpenSSL문의 드립니다.

Question

안드로이드 지식이 얕은데 어찌하다 앱 출시를 해야 하는 상황이 생겼습니다.

출시는 정상적으로 되었지만 3시간후에 보안알람이 온 상태인데 해결을 못하겠네요.

java 웹개발은 10년을 넘어해도 보안쪽은 영...

상세 링크는 요기구요.
https://support.google.com/faqs/answer/6376725

검색을 하니 ndk 로 *.so로 파일을 우째 맹글어서 하는것 같기도 한데

프로젝트내에 libs/armeabi 등등 아래에 *.so파일이 존재합니다.

금융 프로젝트라 보안모듈이 여러개 존재합니다. (이니텍, 백신등)

도무지 감이 안오네요. 안드로이드쪽에서 해야하는 건지 서버에서 하는건지 혹은 보안솔루션 업체에서

받아야 하는건지 답변기다리겠습니다.

좋은 하루 되세요..

Answer 1

보안 문제가 발견된 OpenSSL을 사용하여 컴파일 된 so가 존재한다는 얘기입니다. so 파일(아마 보안모듈일 것 같습니다만)을 제공받은 업체측에 문의하여 문제가 없는 버전을 이용하여 컴파일 된 so파일을 다시 받으시면 됩니다.

Answer 2

heartbleed 패치전 단말의 경우  보안 취약점을 가진 openssl라이브러리가 단말에 들어 있어서,

-l 옵션등으로 쓰지말고, 보안패치한 openssl을 APK에 포함해서 쓰도록 강제하는 것입니다.

마쉬멜로 버젼 부턴 openssl을 쓰지 않고 boringssl를 쓰게 변경되었으며,

누가 버젼 부턴 PDK 라이브러리를 쓰지 못하게 강제하고 있습니다.

빌드가 힘들다면 보안 패치된 최신 롤리팝단말에 들어있는 libopenssl.so 파일을 가져와 쓰셔도 상관은 없습니다만. 나중에 문제가 생기면, 골치 아프니 가능하면, 보안솔루션 업체에서 다시 받는것을 추천합니다.