삽입된 Google OAuth 새로고침 토큰

앱에 하드코딩된 사용자의 Google OAuth 새로고침 토큰이 삽입되어 있는 앱의 개발자를 위해 작성된 내용입니다.

하드코딩된 새로고침 토큰은 애플리케이션에서 추출될 수 있고, 보안 위험이 되는 애플리케이션을 분석하는 누구나 하드코딩된 새로고침 토큰을 액세스 토큰으로 교환할 수 있습니다. 또한 토큰이 취소된 경우 앱의 정상적인 작동을 방해할 수 있습니다.

사용자 데이터를 저장할 계정을 사용하거나 혹은 인증된 방식으로 Google 리소스에 액세스하는 경우 GoogleApiClient 또는 GoogleCredential을 사용하시기 바랍니다. 

해결 단계:

  1. 앱에 새로고침 토큰을 삽입하지 않으려면 앱을 업데이트 합니다.
  2. Developer Console에 로그인하고 업데이트된 버전의 앱을 제출합니다. 
  3. 5시간이 지난 뒤 다시 확인하세요. 앱이 제대로 업데이트되지 않은 경우 경고 메시지가 표시됩니다.

다른 기술 관련 질문이 있으면 'android-security' 태그를 추가하여 Stack Overflow에 게시하세요. Play 정책 관련 질문은 Stack Overflow에 게시해서는 안 된다는 점에 유의하세요.

또한 앱은 개발자 배포 계약콘텐츠 정책을 준수해야 합니다. Google에서 이 취약점 경고를 잘못 발송했다고 생각되면 Google Play 개발자 고객센터를 통해 Google 지원팀에 문의하시기 바랍니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?