漏洞描述
google Android 14(智慧型手機作業系統)中發現了一個漏洞(CVE-2023-21336),在輸入法中,由於側通道資訊洩露,有一種可能無需查詢權限即可確定應用程式是否安裝的方法。這可能會導致本地資訊洩露,而無需額外的執行權限。利用該漏洞不需要使用者互動。
漏洞影響:
受影響軟體
# 類型 廠商 產品 版本 影響面
1 系統 google android * Up to(excluding)14.0
對應用開發者影響評估:
谷歌在安卓14發布了一些系統安全漏洞的補丁,基於系統安全考慮,華為側評估這些漏洞補丁需要合入現有和後續的系統版本中。 Google的補丁號碼是CVE-2023-21336,合入後Google介面InputMethodManager類別中getEnabledInputMethodList 和getInputMethodList介面的回傳值將會產生變化,可能會對業務造成影響。如果應用程式涉及這兩個介面的調用,建議在AndroidManifest.xml中增加queries權限避免造成影響。針對開發者會造成一定影響面。
剩餘內容需解鎖觀看
本文來自投稿,不代表首席安全官立場,如若轉載,請註明出處:https://cncso.com/tw/google-android-14-input-method-information-disclosure.html
