Token de atualização do Google OAuth incorporado

Estas informações são destinadas aos desenvolvedores que incorporaram no app o token de atualização do Google OAuth de um usuário fixado no código.

Ao analisar o app, qualquer pessoa pode extrair dele um token de atualização fixado no código e trocá-lo por um token de acesso, o que é um risco de segurança. Se o token for revogado, isso também poderá afetar o funcionamento do app.

Se você usar a conta para armazenar dados do usuário ou acessar recursos do Google por meio de autenticação, adicione GoogleApiClient ou GoogleCredential (páginas em inglês). 

Etapas para corrigir o problema:

  1. Atualize o app para que ele não incorpore o token de atualização.
  2. Faça login no Developer Console e envie a versão atualizada do app. 
  3. Volte após cinco horas. Você verá uma mensagem de aviso se o app não tiver sido atualizado corretamente.

Para outras dúvidas técnicas, poste no Stack Overflow (site em inglês) e use a tag "android-security". Não poste perguntas sobre a política do Google Play no Stack Overflow.

Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e com a política de conteúdo. Caso você acredite que tenha recebido este aviso de vulnerabilidade por engano, entre em contato com nossa equipe de suporte a políticas por meio da Central de Ajuda do Google Play Developer Console (não disponível em português).

Isso foi útil?
Como podemos melhorá-lo?