यह जानकारी ऐप्लिकेशन के उन डेवलपर के लिए लक्षित है जिन्होंने अपने ऐप्लिकेशन में हार्डकोड किए गए उपयोगकर्ता के Google OAuth रीफ़्रेश टोकन को एम्बेड किया है.
आपके ऐप्लिकेशन का विश्लेषण करने वाले किसी भी व्यक्ति द्वारा आपके ऐप्लिकेशन से हार्डकोड किया गया रीफ़्रेश टोकन निकाला जा सकता है और उसे किसी एक्सेस टोकन से बदला जा सकता है, जो कि सुरक्षा का जोखिम है. यही नहीं, यदि टोकन निरस्त कर दिया जाता है, तो वह आपके ऐप्लिकेशन के ठीक तरह कार्य करने में रुकावट डाल सकता है.
हमारा सुझाव है कि यदि आप उपयोगकर्ता का डेटा संग्रहीत करने के लिए खाते का उपयोग कर रहे हैं या किसी अप्रमाणीकृत तरीके से Google संसाधनों का उपयोग करते हैं, तो GoogleApiClient या GoogleCredential का उपयोग करने पर विचार करें.
ठीक करने के चरण:
- अपना ऐप्लिकेशन अपडेट करें ताकि वह ऐप्लिकेशन के अंतर्गत रीफ़्रेश टोकन को एम्बेड ना करे.
- अपने Developer Console में प्रवेश करें और अपने ऐप्लिकेशन का अपडेट किया गया वर्शन सबमिट करें.
- पांच घंटे बाद वापस देखें - यदि ऐप्लिकेशन सही तरीके से अपडेट नहीं किया गया हो, तो हम एक चेतावनी संदेश दिखाएंगे.
अन्य तकनीकी प्रश्नों के लिए, आप स्टैक ओवरफ़्लो पर पोस्ट कर सकते हैं और “android-security” टैग का उपयोग कर सकते हैं. ध्यान दें कि Play पॉलिसी के बारे में प्रश्न स्टैक ओवरफ़्लो पर पोस्ट नहीं किए जाने चाहिए.
ध्यान दें कि ऐप्लिकेशन को डेवलपर वितरण अनुबंध और सामग्री नीति का अनुपालन भी करना होगा. यदि आपको लगता है कि आपको यह भेद्यता चेतावनी गलती से प्राप्त हुई है, तो Google Play डेवलपर सहायता केंद्र के माध्यम से हमारी पॉलिसी सहायता टीम से संपर्क करें.