Встроенный токен обновления Google OAuth

Эта информация предназначена для разработчиков приложений со встроенным токеном обновления Google OAuth.

Любой пользователь, имеющий доступ к коду, может извлечь из приложения жестко заданный в программе токен обновления и заменить его токеном доступа, тем самым создав угрозу безопасности. Кроме того, недействительный токен может препятствовать нормальной работе приложения.

Если вы храните пользовательские данные в аккаунте либо получаете доступ к ресурсам Google с помощью аутентификации, рекомендуем вам использовать GoogleApiClient или GoogleCredential

Как устранить уязвимость

  1. Измените код таким образом, чтобы токен обновления не был встроен в приложение.
  2. Войдите в Developer Console и загрузите обновленную версию приложения. 
  3. Вернитесь через 5 часов. Если предупреждение не исчезло, значит обновление было выполнено неправильно.

Если у вас есть вопросы, задайте их на сайте Stack Overflow (используйте тег android-security). Обратите внимание, что там не обсуждаются вопросы, связанные с правилами Google Play.

Напоминаем, что приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента. Если вы считаете, что получили это сообщение по ошибке, обратитесь в службу поддержки.

Эта информация оказалась полезной?
Как можно улучшить эту статью?