Ove su informacije namijenjene razvojnim programerima koji u aplikaciji imaju ugrađeni token za osvježavanje Google OAutha korisnika ugrađenog u kôd.
Svatko tko analizira vašu aplikaciju može iz nje izdvojiti token za osvježavanje ugrađen u kôd i zamijeniti ga za pristupni token, što predstavlja sigurnosni rizik. Osim toga, ako se token opozove, to može ometati pravilno funkcioniranje aplikacije.
Ako račun upotrebljavate za pohranjivanje podataka korisnika ili pristup Googleovim resursima uz autentifikaciju, preporučujemo vam GoogleApiClient ili GoogleCredential.
To možete ispraviti na sljedeći način:
- Ažurirajte aplikaciju tako da ne sadrži token za osvježavanje.
- Prijavite se na Developer Console i pošaljite ažuriranu verziju aplikacije.
- Provjerite za pet sati. Ako aplikacija nije pravilno ažurirana, prikazat ćemo upozorenje.
Ostala tehnička pitanja možete objaviti na Stack Overflowu uz oznaku "android-security". Napominjemo da se na Stack Overflowu ne bi trebala objavljivati pitanja o pravilima Playa.
Napominjemo da aplikacije moraju biti u skladu i s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju. Ako smatrate da ste upozorenje o ranjivosti dobili pogreškom, obratite se našem timu za podršku pravila putem centra za pomoć za razvojne programere Google Playa.