Estas informações são destinadas aos desenvolvedores que incorporaram no app o token de atualização do Google OAuth de um usuário fixado no código.
Ao analisar o app, qualquer pessoa pode extrair dele um token de atualização fixado no código e trocá-lo por um token de acesso, o que é um risco de segurança. Se o token for revogado, isso também poderá afetar o funcionamento do app.
Se você usar a conta para armazenar dados do usuário ou acessar recursos do Google por meio de autenticação, adicione GoogleApiClient ou GoogleCredential (páginas em inglês).
Etapas para corrigir o problema:
- Atualize o app para que ele não incorpore o token de atualização.
- Faça login no Developer Console e envie a versão atualizada do app.
- Volte após cinco horas. Você verá uma mensagem de aviso se o app não tiver sido atualizado corretamente.
Para outras dúvidas técnicas, poste no Stack Overflow (site em inglês) e use a tag "android-security". Não poste perguntas sobre a política do Google Play no Stack Overflow.
Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e com a política de conteúdo. Caso você acredite que tenha recebido este aviso de vulnerabilidade por engano, entre em contato com nossa equipe de suporte a políticas por meio da Central de Ajuda do Google Play Developer Console (não disponível em português).