Forwarded from 不存在的世界
🎉2👍1
Forwarded from 层叠 - The Cascading
微博网友提到,拼多多已经在更新的 App 中移除了相关提权等代码。
https://weibo.com/1865990891/MvIGECUxX
thread: /4086
#PinDuoDuo #Security
https://weibo.com/1865990891/MvIGECUxX
thread: /4086
#PinDuoDuo #Security
Weibo
据我了解app解压开asset里有一个AliveBas... 来自sunwear - 微博
据我了解。app解压开asset里有一个AliveBaseAbility 就是提权的,vmp加固的。就在今天pdd刚刚更新了,更新后这段就删了。拼多多确实需要国家有关部门大砍一刀, http://t.cn/A6C6PhF2【转发】@:该微博因被投诉违...
🎉20😱5👍3👎3
Forwarded from Android Weekly Update ⚡️ (Alpha UMi)
目前发现 Pixel 屏幕截图内置的涂改工具 (Markup) 存在严重的隐私问题,开发者 Simon Aarons 利用此漏洞成功还原利用 Pixel 涂改工具遮挡的部分信息,并公开了还原工具 acropalypse
只要在 acropalypse 上传被内置工具涂改过的截图并选择打码具体机型(涵盖 Pixel 3 到 Pixel 7),即可还原出涂改前的原始截图(包括裁剪和涂改),还原程度还是非常高的。出于安全考虑请立即停止使用 Pixel 内建涂改工具用于敏感信息打码。
演示平台:
https://acropalypse.app
来源:
https://twitter.com/itssimontime/status/1636857478263750656
只要在 acropalypse 上传被内置工具涂改过的截图并选择打码具体机型(涵盖 Pixel 3 到 Pixel 7),即可还原出涂改前的原始截图(包括裁剪和涂改),还原程度还是非常高的。出于安全考虑请立即停止使用 Pixel 内建涂改工具用于敏感信息打码。
演示平台:
https://acropalypse.app
来源:
https://twitter.com/itssimontime/status/1636857478263750656
🎉3👍2
Forwarded from Calyx Hikari | TCC Bankruptcy Countdown
推荐使用纯纯打码 PureMosaik,就这样。
Forwarded from Web to Album
拼多多的事还没完。俄罗斯知名反病毒软件卡巴斯基正式开锤拼多多。莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码,破坏攻击用户手机系统。现在中美俄三国,除了中国都在锤拼多多,大概我们监管机构没有人看得懂代码和程序,也不懂技术。恶意代码摆在面前也看不懂,即使全世界以你为敌。以下图片来源于卡巴斯基,以及目前最细节的中文分析(github上davincifans101)拼多多这个我国安装量巨大的软件确实存在利用漏洞恶意代码攻击用户的情况。我们的监管机构像死了一样,看不见。)
参见链接 1. www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers
2. github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf source
参见链接 1. www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers
2. github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf source
👍89🎉3
光卡的网络斗士培训班
Message
随着智能手机的普及拉低了接入国内互联网的门槛、以及微信代替 QQ 成为最流行的国内即时通讯工具,那个小学有计算机杂志可供付费订阅的时代可能一去不复返了。
👍59👎4
目前,动态系统更新 (Dynamic System Update) 这个功能搞炸手机的概率极高。
Nokia的手机如果用这个功能把手机搞炸了,救回来的希望不太大,除非知道怎么解锁bootloader。
考虑到这一点,我会在刷机贴纸包加入动态系统更新相关的内容。
目前除了Pixel可以保证安心使用这个功能之外,其他品牌都不能保证不解锁bootloader能安心使用DSU。
相关技术文档:https://developer.android.com/topic/dsu
Nokia的手机如果用这个功能把手机搞炸了,救回来的希望不太大,除非知道怎么解锁bootloader。
考虑到这一点,我会在刷机贴纸包加入动态系统更新相关的内容。
目前除了Pixel可以保证安心使用这个功能之外,其他品牌都不能保证不解锁bootloader能安心使用DSU。
相关技术文档:https://developer.android.com/topic/dsu
Android Developers
Dynamic System Updates (DSU) | Platform | Android Developers
Dynamic System Updates (DSU) lets developers install a GSI side by side with the device's system image on a DSU-supported device that runs Android 10 or higher.
😱17👍1
光卡的网络斗士培训班
Message
补充说明,NanaZip 可在这里下载:https://www.microsoft.com/store/productId/9N8G7TSCL18R
它是 7-Zip 的现代化实现分支版本。源代码和本地安装包可在这里查看下载:https://github.com/M2Team/NanaZip
它是 7-Zip 的现代化实现分支版本。源代码和本地安装包可在这里查看下载:https://github.com/M2Team/NanaZip
Microsoft Store - Download apps, games & more for your Windows PC
NanaZip - Free download and install on Windows | Microsoft Store
NanaZip is an open source file archiver intended for the modern Windows experience, forked from the source code of well-known open source file archiver 7-Zip.
If you want to sponsor the development of NanaZip, please read the document of NanaZip Sponsor…
If you want to sponsor the development of NanaZip, please read the document of NanaZip Sponsor…
👍23🎉1
Forwarded from Soha 的日常 (Soha Jin)
闲鱼交易不要扫描任何对方发来的二维码,通常是以补快递费等理由的发的付款码。
目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。
目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。
🎉15😱6👍5