ข้อมูลนี้มีไว้สำหรับนักพัฒนาซอฟต์แวร์ของแอปที่ฝัง OAuth client_secret ของ Foursquare ไว้ในแอป
การทราบรหัสลับเกี่ยวข้องโดยตรงกับสิทธิ์พิเศษในการเข้าถึงข้อมูลที่ผู้ใช้อาจให้แอปพลิเคชันไว้ ผู้โจมตีอาจฉวยโอกาสนำ client_secret ที่รั่วไหลไปใช้เพื่อเข้าถึงข้อมูลของผู้ใช้ที่แอปพลิเคชันดังกล่าวมีสิทธิ์เข้าถึง
เราขอแนะนำให้คุณอัปเดตแอปเพื่อนำการเรียกแอปพลิเคชันฝั่งเซิร์ฟเวอร์ที่คุณควบคุมที่ต้องใช้ client_secret ออกให้หมด คุณสามารถอ่านรายละเอียดการใช้งานได้ที่หน้าสนับสนุนนักพัฒนาซอฟต์แวร์ของ Foursquare ที่นี่ และคำแนะนำที่เกี่ยวข้องของ Android ที่นี่
ขั้นตอนต่อไปมีดังนี้
1. อัปเดตแอปไม่ให้ฝัง client_secret
2. ติดต่อ Foursquare หากต้องการความช่วยเหลือ ที่นี่
3. ลงชื่อเข้าใช้ Developer Console และส่งแอปเวอร์ชันที่อัปเดตแล้ว
4. กลับมาตรวจสอบอีกครั้งหลัง 5 ชั่วโมง เราจะแสดงคำเตือนหากแอปไม่ได้รับการอัปเดตอย่างถูกต้อง
หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security” โปรดทราบว่าไม่ควรโพสต์คำถามเกี่ยวกับนโยบาย Play ลงใน Stack Overflow
โปรดทราบว่าแอปต้องปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา หากคุณคิดว่าเราส่งคำเตือนเรื่องช่องโหว่นี้ด้วยความผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเราผ่านศูนย์ช่วยเหลือนักพัฒนาซอฟต์แวร์ Google Play