この情報は、ハードコーディングされたユーザーの Google OAuth リフレッシュ トークンをアプリに埋め込んでいるアプリ デベロッパーを対象としています。
ハードコーディングされたリフレッシュ トークンは、アプリを分析する者によってアプリから抽出されたり、アクセス トークンに変換されたりする可能性があり、セキュリティ リスクとなります。さらに、トークンが取り消された場合には、アプリが正しく機能できなくなる可能性もあります。
ユーザーデータを保存したり、認証済みの方式で Google リソースにアクセスしたりするために、アカウントを使用している場合、GoogleApiClient または GoogleCredential を使用することをご検討ください。
修正の手順:
- リフレッシュ トークンがアプリ内に埋め込まれていない形にアプリを更新します。
- Developer Console にログインし、アプリの更新版を送信します。
- 5 時間後にもう一度確認します。アプリが正しく更新されていない場合は、警告メッセージが表示されます。
その他の技術的な不明点については、Stack Overflow にタグ「android-security」を使用してご投稿ください。Play ポリシーに関する質問は Stack Overflow に投稿しないでください。
なお、アプリはデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠している必要があります。今回の脆弱性に関する通知を誤って受け取ったと思われる場合は、Google Play デベロッパー ヘルプセンターからポリシー サポートチームにご連絡ください。