Google Android 14輸入法資訊外洩漏洞及影響

Google Android 14輸入法資訊外洩漏洞,由於側通道資訊洩露,有一種可能無需查詢權限即可確定應用程式是否安裝的方法。這可能會導致本地資訊洩露,而無需額外的執行權限。利用該漏洞不需要使用者互動。

漏洞描述

google Android 14(智慧型手機作業系統)中發現了一個漏洞(CVE-2023-21336),在輸入法中,由於側通道資訊洩露,有一種可能無需查詢權限即可確定應用程式是否安裝的方法。這可能會導致本地資訊洩露,而無需額外的執行權限。利用該漏洞不需要使用者互動。

漏洞影響:

受影響軟體

# 類型 廠商 產品 版本 影響面

1 系統 google android * Up to(excluding)14.0

對應用開發者影響評估:

谷歌在安卓14發布了一些系統安全漏洞的補丁,基於系統安全考慮,華為側評估這些漏洞補丁需要合入現有和後續的系統版本中。 Google的補丁號碼是CVE-2023-21336,合入後Google介面InputMethodManager類別中getEnabledInputMethodList 和getInputMethodList介面的回傳值將會產生變化,可能會對業務造成影響。如果應用程式涉及這兩個介面的調用,建議在AndroidManifest.xml中增加queries權限避免造成影響。針對開發者會造成一定影響面。

剩余内容需解锁后查看

解鎖查看全文

已經登入?立即刷新

本文来自投稿,不代表首席安全官立场,如若转载,请注明出处:https://cncso.com/tw/google-android-14-input-method-information-disclosure-html

讚! (1)
以前的 2023年11月20日上午12:00
下一個 2023年11月23日下午10:37

相關推薦