Informasi ini ditujukan bagi pengembang aplikasi yang telah menyematkan token penyegaran Google OAuth pengguna berkode keras di perangkat mereka.
Token penyegaran berkode keras dapat diekstrak dari aplikasi dan ditukarkan dengan token akses oleh siapa pun yang menganalisis aplikasi Anda, yang merupakan risiko keamanan. Selain itu, jika token dicabut, tindakan tersebut dapat mengganggu fungsi aplikasi yang semestinya.
Sebaiknya, jika Anda menggunakan akun untuk menyimpan data pengguna atau mengakses sumber daya Google dalam gaya yang diautentikasi, pertimbangkan menggunakan GoogleApiClient atau GoogleCredential.
Langkah untuk memperbaiki:
- Perbarui aplikasi agar tidak menyematkan token penyegaran dalam aplikasi.
- Masuk ke Konsol Pengembang dan kirimkan versi aplikasi yang sudah diperbarui.
- Periksa kembali setelah lima jam - kami akan menampilkan pesan peringatan jika aplikasi belum diperbarui dengan benar.
Untuk pertanyaan teknis lainnya, Anda dapat mengeposkannya ke Stack Overflow dan menggunakan tag “android-security”. Perhatikan bahwa pertanyaan tentang kebijakan Play tidak dapat diposkan di Stack Overflow.
Perhatikan bahwa aplikasi harus mematuhi Persetujuan Distribusi Pengembang dan Kebijakan Konten. Jika Anda merasa tidak seharusnya menerima peringatan kerentanan ini, hubungi tim dukungan kebijakan melalui Pusat Bantuan Pengembang Google Play.