作为 Android 合作伙伴漏洞倡议(APVI)项目的一部分,谷歌已开始向非 Pixel 设备用户通报安全漏洞。据悉,APVI 专为解决各大 OEM 厂商的安全问题而设立。作为谷歌保障其移动生态系统安全的最新努力,该项目可结合世界各地诸多企业之力。
谷歌解释称:APVI 主要涵盖了该公司发现的一些问题,它们可能影响 Android 设备或用户的安全、符合 ISO / IEC 29147:2018 信息安全技术的漏洞披露建议。
在已发现的安全漏洞中,主要是利用了流行的 Web 浏览器的凭据泄露问题。虽然未披露该应用的名称,但由于安装基数很大,其内置的密码管理器很可能泄露了用户常访问的站点登录凭据。
(来自:APVI)
对于恶意站点来说,可利用此功能接口在网页上下文中加载 JavaScript 代码,进而将凭据内容传递给 WebView 。即便采用了静态加密,但基于弱算法(DES)和已知的硬编码密钥,应用程序开发商仍需对这一安全隐患多加一套防护措施。
最后,谷歌表示其在非 Pixel 智能机上发现的所有安全问题,都将通过 APVI 页面进行公布。目前已发现和修复的漏洞披露,已涵盖联发科、数联时代、魅族、中兴、传音、vivo、OPPO、华为等软硬件和服务合作伙伴。