Te informacije so namenjene razvijalcem aplikacij, ki so v svoji aplikaciji vdelali žeton za osvežitev Google OAuth fiksno nastavljenega uporabnika.
Fiksno nastavljen žeton za osvežitev lahko iz aplikacije pridobi vsak, ki analizira aplikacijo, in ga zamenja za žeton za dostop, to pa predstavlja varnostno tveganje. Če je žeton umaknjen, lahko poleg tega ovira pravilno delovanje aplikacije.
Če račun uporabljate za shranjevanje uporabnikovih podatkov ali dostop do Googlovih sredstev s preverjanjem pristnosti, priporočamo, da razmislite o uporabi možnosti GoogleApiClient ali GoogleCredential.
Postopek za odpravljanje ranljivosti:
- Aplikacijo posodobite tako, da žeton za osvežitev ni vdelan v aplikaciji.
- Prijavite se v konzolo Developer Console in pošljite posodobljeno različico aplikacije.
- Preverite čez pet ur – če se aplikacija ne bo pravilno posodobila, bo prikazano opozorilo.
Če imate druga tehnična vprašanja, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Vprašanj glede pravilnika za Google Play ne objavljajte v skupnosti Stack Overflow.
Upoštevajte, da morajo biti aplikacije skladne s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini. Če menite, da ste to opozorilo prejeli po pomoti, se v centru za pomoč za razvijalce za Google Play obrnite na skupino za podporo glede pravilnikov.