Thông tin này dành cho nhà phát triển ứng dụng đã nhúng client_secret Foursquare OAuth trong ứng dụng của họ.
Kiến thức về bí mật được liên kết trực tiếp với quyền truy cập đặc biệt vào dữ liệu mà người dùng có thể đã cấp cho ứng dụng. client-secret bị rò rỉ có thể bị kẻ tấn công khai thác để truy cập dữ liệu của người dùng mà ứng dụng của bạn đã được cấp quyền truy cập.
Chúng tôi khuyên bạn nên cập nhật ứng dụng của bạn để di chuyển tất cả các cuộc gọi yêu cầu client_secret sang một ứng dụng phía máy chủ mà bạn kiểm soát. Bạn có thể tìm thấy chi tiết triển khai trên trang hỗ trợ nhà phát triển Foursquare tại đây và hướng dẫn Android liên quan tại đây.
Các bước tiếp theo
1. Cập nhật ứng dụng của bạn để không nhúng client_secret.
2. Liên hệ với Foursquare nếu bạn cần hỗ trợ ở đây.
3. Đăng nhập vào Developer Console và gửi phiên bản cập nhật của ứng dụng của bạn.
4. Kiểm tra lại sau năm giờ - chúng tôi sẽ hiển thị thông điệp cảnh báo nếu ứng dụng chưa được cập nhật một cách chính xác.
Đối với các câu hỏi kỹ thuật khác, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Lưu ý rằng bạn không nên đăng câu hỏi về chính sách Play lên Stack Overflow.
Ứng dụng cũng phải tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung. Nếu bạn cho rằng bạn nhận được cảnh báo lỗ hổng này do nhầm lẫn thì hãy liên hệ với nhóm hỗ trợ chính sách của chúng tôi thông qua Trung tâm trợ giúp dành cho nhà phát triển trên Google Play.