ข้อมูลนี้มีไว้สำหรับนักพัฒนาซอฟต์แวร์ของแอปที่ฝังโทเค็นการรีเฟรช Google OAuth ของผู้ใช้ฮาร์ดโค้ดในแอป
ใครก็ตามที่วิเคราะห์แอปพลิเคชันของคุณจะสามารถดึงข้อมูลโทเค็นการรีเฟรชแบบฮาร์ดโค้ดจากแอปพลิเคชัน และเปลี่ยนเป็นโทเค็นการเข้าถึงแทนได้ ซึ่งเสี่ยงต่อความปลอดภัย นอกจากนี้หากโทเค็นถูกเพิกถอน ก็อาจรบกวนการทำงานตามปกติของแอป
เราขอแนะนำว่าหากคุณกำลังใช้บัญชีเพื่อจัดเก็บข้อมูลของผู้ใช้ หรือเข้าถึงทรัพยากรอื่นๆ ของ Google ที่ต้องผ่านการตรวจสอบสิทธิ์ ให้ลองใช้ GoogleApiClient หรือ GoogleCredential
ขั้นตอนในการแก้ไข
- อัปเดตแอปของคุณไม่ให้ฝังโทเค็นการรีเฟรชในแอป
- ลงชื่อเข้าใช้ Developer Console และส่งแอปเวอร์ชันที่อัปเดตแล้วของคุณ
- กลับมาตรวจสอบอีกครั้งหลัง 5 ชั่วโมง เราจะแสดงคำเตือนหากแอปไม่ได้รับการอัปเดตอย่างถูกต้อง
หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security” โปรดทราบว่าไม่ควรโพสต์คำถามเกี่ยวกับนโยบาย Play ลงใน Stack Overflow
โปรดทราบว่าแอปต้องปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์ และนโยบายเนื้อหา หากคุณคิดว่าเราส่งคำเตือนเรื่องช่องโหว่นี้ด้วยความผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเราผ่านศูนย์ช่วยเหลือนักพัฒนาซอฟต์แวร์ Google Play