本文面向的是在发布的应用中嵌入了用户采用硬编码形式的 Google OAuth 刷新令牌的开发者。
任何分析您应用的人员都可以从应用中提取硬编码刷新令牌,并将其替换为访问令牌,而这样存在安全风险。此外,如果令牌被撤消,可能会影响您应用的正常运行。
如果您使用帐号存储用户的数据,或者以经过身份验证的方式访问 Google 资源,建议您考虑使用 GoogleApiClient 或 GoogleCredential。
解决步骤:
- 更新您的应用,使其不在应用内嵌入刷新令牌。
- 登录 Developer Console 并提交应用的更新版本。
- 过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示警告消息。
如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。请注意,请勿在 Stack Overflow 上发布关于 Play 政策的问题。
注意:应用还必须遵循开发者分发协议和内容政策。如果您认为自己不应收到这条漏洞警告,请通过 Google Play 开发者帮助中心与我们的政策支持团队联系。