โทเค็นการรีเฟรช Google OAuth แบบฝัง

ข้อมูลนี้มีไว้สำหรับนักพัฒนาซอฟต์แวร์ของแอปที่ฝังโทเค็นการรีเฟรช Google OAuth ของผู้ใช้ฮาร์ดโค้ดในแอป

ใครก็ตามที่วิเคราะห์แอปพลิเคชันของคุณจะสามารถดึงข้อมูลโทเค็นการรีเฟรชแบบฮาร์ดโค้ดจากแอปพลิเคชัน และเปลี่ยนเป็นโทเค็นการเข้าถึงแทนได้ ซึ่งเสี่ยงต่อความปลอดภัย นอกจากนี้หากโทเค็นถูกเพิกถอน ก็อาจรบกวนการทำงานตามปกติของแอป

เราขอแนะนำว่าหากคุณกำลังใช้บัญชีเพื่อจัดเก็บข้อมูลของผู้ใช้ หรือเข้าถึงทรัพยากรอื่นๆ ของ Google ที่ต้องผ่านการตรวจสอบสิทธิ์ ให้ลองใช้ GoogleApiClient หรือ GoogleCredential 

ขั้นตอนในการแก้ไข

  1. อัปเดตแอปของคุณไม่ให้ฝังโทเค็นการรีเฟรชในแอป
  2. ลงชื่อเข้าใช้ Developer Console และส่งแอปเวอร์ชันที่อัปเดตแล้วของคุณ 
  3. กลับมาตรวจสอบอีกครั้งหลัง 5 ชั่วโมง เราจะแสดงคำเตือนหากแอปไม่ได้รับการอัปเดตอย่างถูกต้อง

หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security” โปรดทราบว่าไม่ควรโพสต์คำถามเกี่ยวกับนโยบาย Play ลงใน Stack Overflow

โปรดทราบว่าแอปต้องปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์ และนโยบายเนื้อหา หากคุณคิดว่าเราส่งคำเตือนเรื่องช่องโหว่นี้ด้วยความผิดพลาด โปรดติดต่อทีมสนับสนุนด้านนโยบายของเราผ่านศูนย์ช่วยเหลือนักพัฒนาซอฟต์แวร์ Google Play

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร