Te informacje są przeznaczone dla programistów aplikacji, które zawierają osadzony token odświeżania Google OAuth dla użytkownika na stałe zakodowanego w aplikacji.
Każda osoba analizująca aplikację może wyodrębnić z niej zakodowany na stałe, osadzony token odświeżania i wymienić go na token dostępu, co jest zagrożeniem dla bezpieczeństwa. Ponadto jeśli token zostanie unieważniony, może to zakłócić prawidłowe działanie aplikacji.
Jeśli używasz konta do przechowywania danych użytkownika lub korzystasz z zasobów Google w uwierzytelniony sposób, zalecamy stosowanie GoogleApiClient lub GoogleCredential.
Sposób naprawy:
- Zaktualizuj aplikację, tak aby nie zawierała osadzonego tokena odświeżania.
- Zaloguj się w Developer Console i prześlij zaktualizowaną wersję aplikacji.
- Sprawdź za pięć godzin. Jeśli aplikacji nie udało się zaktualizować, zobaczysz ostrzeżenie.
Jeśli masz pytania techniczne, możesz opublikować je na stronie Stack Overflow, używając tagu „android-security”. Pamiętaj, że na stronie Stack Overflow nie należy publikować pytań na temat zasad obowiązujących w Google Play.
Pamiętaj, że aplikacje muszą być też zgodne z Umową dystrybucyjną dla programistów i Polityką treści. Jeśli Twoim zdaniem otrzymujesz to ostrzeżenie o luce w zabezpieczeniach przez pomyłkę, skontaktuj się z naszym zespołem pomocy ds. zasad, korzystając z Centrum pomocy dla programistów Google Play.