앱 내에서 웹 접속을 가능하게 하여 매끄러운 사용자 경험을 제공하는 한편, 앱 내 브라우저(in-app browsers)는 보안 우려를 제기하는데, 특히 인증서 검증에서 문제가 두드러지며, 적절하게 구현되지 않을 경우 사용자가 Man-In-The-Middle(MITM) 또는 피싱 공격에 취약해질 수 있다. 본 논문에서는 WebView로도 알려진 앱 내 브라우저의 인증서 검증 메커니즘을 체계적으로 평가하고, 이것이 X.509 인증서 표준을 얼마나 효과적으로 준수하는지와 함께 폐기(revocation) 및 Certificate Transparency(CT)와 관련된 고급 인증서 확장을 얼마나 지원하는지에 초점을 맞추었다. 재현성을 보장하고, 특히 Android 14 및 그 이후 버전에서 특히 도전적인 플랫폼별 신뢰 앵커 제어를 가능하게 하기 위해, iOS용 물리 장치와 Android 에뮬레이터를 사용하여 FAITH라는 통합 프레임워크를 개발하였다. FAITH와 115개로 구성된 제작 인증서 체인(비준수 체인 87개 및 고급 인증서 확장을 시험하도록 설계된 28개)을 활용해 20개의 인기 있는 Android 및 iOS 앱, 그리고 데스크톱 및 모바일 브라우저를 테스트하였다. Android WebView 앱은 비준수 체인의 77.0% 및 모든 비준수 중간 CA 인증서 테스트를 수용했는데, 이는 주류 브라우저와 iOS 앱보다 유의하게 높은 수치였다. 우리는 그 근본 원인을 Android WebView가 시스템 수준의 인증서 검증 핸들러에 의존하며, 해당 핸들러가 최소한의 점검만 수행하고 OCSP Must-Staple 및 Precertificate와 같은 확장에 대한 지원이 없다는 점에서 찾았다. 또한 Android WebView에서 인증 검증 중에 캐시된 중간 CA 인증서가 재사용되어, 인증서 점검의 의도치 않은 우회가 발생할 수 있음을 확인하였다. 이의 현실 세계에서의 영향을 입증하기 위해, 상세한 CA 캐싱 공격 시나리오를 구성하고 Google을 포함한 책임 있는 벤더에 이를 공개하였다. 보고된 버그는 이후 유효한 보안 취약점으로 인정되었다. 마지막으로, WebView의 인증서 검증 동작을 개선하기 위한 권고 사항을 제시하며 결론을 맺는다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.