รหัสลับไคลเอ็นต์ OAuth รั่วไหล (Foursquare)

ข้อมูลนี้มีไว้สำหรับนักพัฒนาซอฟต์แวร์ของแอปที่ฝัง OAuth client_secret ของ Foursquare ไว้ในแอป

การทราบรหัสลับเกี่ยวข้องโดยตรงกับสิทธิ์พิเศษในการเข้าถึงข้อมูลที่ผู้ใช้อาจให้แอปพลิเคชันไว้ ผู้โจมตีอาจฉวยโอกาสนำ client_secret ที่รั่วไหลไปใช้เพื่อเข้าถึงข้อมูลของผู้ใช้ที่แอปพลิเคชันดังกล่าวมีสิทธิ์เข้าถึง

เราขอแนะนำให้คุณอัปเดตแอปเพื่อนำการเรียกแอปพลิเคชันฝั่งเซิร์ฟเวอร์ที่คุณควบคุมที่ต้องใช้ client_secret ออกให้หมด คุณสามารถอ่านรายละเอียดการใช้งานได้ที่หน้าสนับสนุนนักพัฒนาซอฟต์แวร์ของ Foursquare ที่นี่ และคำแนะนำที่เกี่ยวข้องของ Android ที่นี่

ขั้นตอนต่อไปมีดังนี้
1. อัปเดตแอปไม่ให้ฝัง client_secret
2. ติดต่อ Foursquare หากต้องการความช่วยเหลือ ที่นี่
3. ลงชื่อเข้าใช้ Developer Console และส่งแอปเวอร์ชันที่อัปเดตแล้ว 
4. กลับมาตรวจสอบอีกครั้งหลัง 5 ชั่วโมง เราจะแสดงคำเตือนหากแอปไม่ได้รับการอัปเดตอย่างถูกต้อง 

หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security” โปรดทราบว่าไม่ควรโพสต์คำถามเกี่ยวกับนโยบาย Play ลงใน Stack Overflow

โปรดทราบว่าแอปต้องปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา หากคุณคิดว่าเราส่งคำเตือนเรื่องช่องโหว่นี้ด้วยความผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเราผ่านศูนย์ช่วยเหลือนักพัฒนาซอฟต์แวร์ Google Play

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร