作為Android合作夥伴漏洞倡議（APVI）項目的一部分，谷歌已開始向非Pixel設備用戶通報安全漏洞。據悉，APVI專為解決各大OEM廠商的安全問題而設立。作為谷歌保障其移動生態系統安全的最新努力，該項目可結合世界各地諸多企業之力。

（來自：Android Developers Blog）

谷歌解釋稱：APVI 主要涵蓋了該公司發現的一些問題，它們可能影響Android 設備或用戶的安全、符合ISO / IEC 29147：2018 信息安全技術的漏洞披露建議。

在已發現的安全漏洞中，主要是利用了流行的Web 瀏覽器的憑據洩露問題。雖然未披露該應用的名稱，但由於安裝基數很大，其內置的密碼管理器很可能洩露了用戶常訪問的站點登錄憑據。

（來自：APVI）

對於惡意站點來說，可利用此功能接口在網頁上下文中加載JavaScript 代碼，進而將憑據內容傳遞給WebView 。即便採用了靜態加密，但基於弱算法（DES）和已知的硬編碼密鑰，應用程序開發商仍需對這一安全隱患多加一套防護措施。

最後，谷歌表示其在非Pixel智能機上發現的所有安全問題，都將通過APVI頁面進行公佈。目前已發現和修復的漏洞披露，已涵蓋聯發科、數聯時代、魅族、中興、傳音、vivo、OPPO、華為等軟硬件和服務合作夥伴。