Queste informazioni sono rivolte agli sviluppatori di app che hanno incorporato nella propria app il token di aggiornamento Google OAuth di un utente impostato come hardcoded.
Un token di aggiornamento impostato come hardcoded può essere estratto dall'app e scambiato con un token di accesso da chiunque utente analizzi l'app, il che costituisce un rischio per la sicurezza. Inoltre, se il token viene revocato, può interferire con il corretto funzionamento dell'app.
Se utilizzi l'account per archiviare i dati degli utenti o per accedere alle risorse di Google tramite autenticazione, consigliamo di utilizzare GoogleApiClient o GoogleCredential.
Procedura per la risoluzione del problema:
- Aggiorna l'app in modo da non incorporare il token di aggiornamento.
- Accedi alla Developer Console e invia la versione aggiornata dell'app.
- Ricontrolla dopo cinque ore. Se l'app non è stata aggiornata correttamente troverai un messaggio di avviso.
Puoi pubblicare altre domande tecniche su Stack Overflow utilizzando il tag "android-security". Ti invitiamo a non pubblicare domande relative alle norme di Play su Stack Overflow.
Inoltre, tieni presente che le app devono essere conformi al Contratto di distribuzione per gli sviluppatori e alle norme relative ai contenuti. Se ritieni di avere ricevuto per errore questo avviso sulla vulnerabilità, contatta il nostro team di assistenza per le norme tramite il Centro assistenza per gli sviluppatori di Google Play.