Thông tin này dành cho nhà phát triển ứng dụng đã nhúng mã làm mới Google OAuth của một người dùng được mã cứng trong ứng dụng của họ.
Bất kỳ người nào phân tích ứng dụng của bạn đều có thể lấy mã làm mới được mã cứng từ ứng dụng và đổi lấy mã truy cập và điều này là một rủi ro bảo mật. Hơn nữa, nếu mã bị thu hồi thì điều này có thể ngăn cản ứng dụng hoạt động chính xác.
Chúng tôi khuyên bạn nên cân nhắc sử dụng GoogleApiClient hoặc GoogleCredential nếu bạn đang sử dụng tài khoản để lưu trữ dữ liệu người dùng hoặc truy cập tài nguyên Google theo cách được xác thực.
Các bước để khắc phục:
- Cập nhật ứng dụng của bạn để không nhúng thẻ làm mới trong ứng dụng.
- Đăng nhập vào Developer Console và gửi phiên bản cập nhật của ứng dụng của bạn.
- Kiểm tra lại sau năm giờ - chúng tôi sẽ hiển thị thông điệp cảnh báo nếu ứng dụng chưa được cập nhật một cách chính xác.
Đối với các câu hỏi kỹ thuật khác, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Lưu ý rằng bạn không nên đăng câu hỏi về chính sách Play lên Stack Overflow.
Ứng dụng cũng phải tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung. Nếu bạn cho rằng bạn nhận được cảnh báo lỗ hổng này do nhầm lẫn thì hãy liên hệ với nhóm hỗ trợ chính sách của chúng tôi thông qua Trung tâm trợ giúp dành cho nhà phát triển trên Google Play.