この記事は、Google Cloud Platform(GCP)API キーが一般に公開されているアプリのデベロッパーを対象としています。公開されている GCP API キーの場所は、アプリの Play Console 通知で確認できます。
その他の詳細
GCP API キーをアプリに埋め込むと、そのキーは一般に公開されます。API キーが公開されると、アプリのアカウントで予期しない請求や割り当ての変更が発生する可能性があります。次のいずれかの方法で、アプリを修正することをおすすめします。
- 可能であれば、アプリの認証に GCP API キーの代わりに GCP サービス アカウントを使用します。GCP サービス アカウントは、GCP プロジェクトに関連付けられた Google アカウントです。サービス アカウントの作成と使用方法について詳しくは、こちらをご覧ください。
-
API キーに制限を追加して、お客様のアプリでのみ API キーを使用できるようにします。API キーに制限を追加する方法について詳しくは、こちらをご覧ください。(注: API キーに制限を追加済みの場合は、この警告を無視してください。)
API キーを安全に使用できるよう GCP のおすすめの使い方をご確認ください。
今後の流れ
- 上記の手順に沿ってアプリを更新します。
-
Play Console にログインして、アプリの更新版を送信します。
アプリが再度審査されます。アプリが適切に更新されていない場合は、引き続き警告が表示されます。この処理には数時間かかることがあります。
サポートのご案内
この脆弱性に関する技術的な質問については、Stack Overflow に投稿してください。その際は、「android-security」タグを使用してください。