Forwarded from Deleted Account avoids KeyMaster #AntiBigData
但是这本来是个外国人做的游戏,最后B站进去插了一脚
Forwarded from Deleted Account avoids KeyMaster #AntiBigData
很多时候root反而是更安全的做法,因为现在想提权是很难的事情,而调用安卓的隐藏API却是super easy的事情
Forwarded from Deleted Account avoids KeyMaster #AntiBigData
所以我来总结一下很多人都不知道的安全漏洞:
(按照防范难度从低到高排序)
1、GMS。有读取屏幕内容和应用使用情况的权限,并且为各app提供了更加稳定的跟踪指纹。
2、隐藏API。可以越过系统API获取基站信息、各种识别码,甚至调用语音识别HAL,等等。常见的权限管理软件对此无效。
3、Widevine。可以提供设备唯一的标识符。
4、高通的运营商配置文件(.mbn)可能会控制基带上传当前位置,或者做更多未知的事情。
(按照防范难度从低到高排序)
1、GMS。有读取屏幕内容和应用使用情况的权限,并且为各app提供了更加稳定的跟踪指纹。
2、隐藏API。可以越过系统API获取基站信息、各种识别码,甚至调用语音识别HAL,等等。常见的权限管理软件对此无效。
3、Widevine。可以提供设备唯一的标识符。
4、高通的运营商配置文件(.mbn)可能会控制基带上传当前位置,或者做更多未知的事情。
Forwarded from Free網絡信息自由門 (纯事件为主的翻墙free公益网友闲极无聊自媒体)
【Android漏洞让应用能秘密录视频:谷歌称已修复】
安全公司Checkmarx发现,谷歌和三星等公司的Android智能手机存在一个安全漏洞,让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频,并将内容上传到远程服务器,该漏洞可能会让高价值目标周边环境被非法记录。
Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风,但该漏洞能让应用无需获得用户的明确许可,只需获得访问设备存储空间的权限,即可使用摄像头和麦克风来捕获视频和音频,而这通常是大多数应用要求获得的权限。
为搞清楚该漏洞是如何运作的,Checkmarx开发了一个概念验证应用,表面上看像是个天气应用,但实际上在后台收集大量数据。测试发现,即使手机屏幕或应用处于关闭状态,该应用也可拍照和录视频,还可访问照片中的位置数据。该应用能在“隐形”模式下运行,消除相机快门的声音,还可以录制双向电话通话,并可将数据上传到远程服务器。
在测试人员利用该漏洞进行攻击时,被攻击的智能手机的屏幕会在录制视频或拍照时显示摄像头,以便让受影响的用户知道发生了什么。该漏洞可在智能手机显示屏看不见或设备屏幕朝下时被秘密利用,而且可以利用近距离传感器来确定手机何时屏幕朝下。
谷歌通过7月发布的摄像头更新解决了Pixel手机中的这个漏洞,三星也修复了该漏洞,但具体时间还不清楚。谷歌对此表示:“我们很感谢Checkmarx让我们注意到这一点,并与谷歌和Android的合作伙伴协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决,我们在2019年7月对谷歌相机应用进行了Play Store更新。我们还已向所有合作伙伴提供了一个补丁。”
三星则表示:“自收到谷歌有关这个问题的通知以来,我们已在随后发布补丁,以解决所有可能受影响三星设备的问题。我们非常重视与Android团队的合作,这让我们能够直接识别和解决这个问题。”
根据Checkmarx的说法,谷歌表示其他厂商的Android手机也可能受到攻击,但尚未披露具体的制造商和手机型号。
由于这是个Android漏洞,因此苹果公司的iOS设备不会受到该漏洞的影响。
目前还不清楚为什么应用能在未获用户许可的情况下访问摄像头。Checkmarx推测,这可能与谷歌决定让摄像头与谷歌人工智能助理服务Google Assistant配合运行有关,而其他厂商可能也已启用这一功能。
安全公司Checkmarx发现,谷歌和三星等公司的Android智能手机存在一个安全漏洞,让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频,并将内容上传到远程服务器,该漏洞可能会让高价值目标周边环境被非法记录。
Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风,但该漏洞能让应用无需获得用户的明确许可,只需获得访问设备存储空间的权限,即可使用摄像头和麦克风来捕获视频和音频,而这通常是大多数应用要求获得的权限。
为搞清楚该漏洞是如何运作的,Checkmarx开发了一个概念验证应用,表面上看像是个天气应用,但实际上在后台收集大量数据。测试发现,即使手机屏幕或应用处于关闭状态,该应用也可拍照和录视频,还可访问照片中的位置数据。该应用能在“隐形”模式下运行,消除相机快门的声音,还可以录制双向电话通话,并可将数据上传到远程服务器。
在测试人员利用该漏洞进行攻击时,被攻击的智能手机的屏幕会在录制视频或拍照时显示摄像头,以便让受影响的用户知道发生了什么。该漏洞可在智能手机显示屏看不见或设备屏幕朝下时被秘密利用,而且可以利用近距离传感器来确定手机何时屏幕朝下。
谷歌通过7月发布的摄像头更新解决了Pixel手机中的这个漏洞,三星也修复了该漏洞,但具体时间还不清楚。谷歌对此表示:“我们很感谢Checkmarx让我们注意到这一点,并与谷歌和Android的合作伙伴协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决,我们在2019年7月对谷歌相机应用进行了Play Store更新。我们还已向所有合作伙伴提供了一个补丁。”
三星则表示:“自收到谷歌有关这个问题的通知以来,我们已在随后发布补丁,以解决所有可能受影响三星设备的问题。我们非常重视与Android团队的合作,这让我们能够直接识别和解决这个问题。”
根据Checkmarx的说法,谷歌表示其他厂商的Android手机也可能受到攻击,但尚未披露具体的制造商和手机型号。
由于这是个Android漏洞,因此苹果公司的iOS设备不会受到该漏洞的影响。
目前还不清楚为什么应用能在未获用户许可的情况下访问摄像头。Checkmarx推测,这可能与谷歌决定让摄像头与谷歌人工智能助理服务Google Assistant配合运行有关,而其他厂商可能也已启用这一功能。
Yukino Song
https://item.taobao.com/item.htm?id=608502350238 上架了(x
几乎任意USB键盘都可以用上Flow,纯蓝牙键盘的兼容方案也已经在研究了
Forwarded from 灵车漂移 (麻理 🐱川)
让几乎任何USB键盘都能轻松使用上 Logitech Flow,只需将键盘插入模块的USB接口即可 ,让你轻松实现优联机械键盘/优联静电容键盘的梦想。
什么是 Logitech Flow?一个可以让你轻松跨电脑跨操作系统使用同一套键鼠的神器级功能,具体详情参考罗技官网: https://www.logitech.com.cn/zh-cn/product/options/page/flow-multi-device-control
但是,Flow 只有罗技的键盘才能使用,而且只有薄膜键盘,喜欢机械键盘却又想要拥有优联和Flow功能的目前只能通过魔改键盘(飞线或者定制PCB)的方式实现,静电容键盘等几乎没有方法可以修改。另外,通过魔改键盘形式做成的优联机械键盘很可能会丢失原有的可编程/RGB等功能。然而,Flowify 可以让你直接跳过所有麻烦的步骤,让你最爱的键盘即刻拥有优联无线的便捷和 Flow 功能的强大,还能保持所有键盘本身拥有的功能。
Flowify 模块兼容主控: K375s, K780 (理论上可以兼容K850主控,然而并未经过测试,而且由于K850难以购买且价格较高并不推荐)👉 进一步了解
什么是 Logitech Flow?一个可以让你轻松跨电脑跨操作系统使用同一套键鼠的神器级功能,具体详情参考罗技官网: https://www.logitech.com.cn/zh-cn/product/options/page/flow-multi-device-control
但是,Flow 只有罗技的键盘才能使用,而且只有薄膜键盘,喜欢机械键盘却又想要拥有优联和Flow功能的目前只能通过魔改键盘(飞线或者定制PCB)的方式实现,静电容键盘等几乎没有方法可以修改。另外,通过魔改键盘形式做成的优联机械键盘很可能会丢失原有的可编程/RGB等功能。然而,Flowify 可以让你直接跳过所有麻烦的步骤,让你最爱的键盘即刻拥有优联无线的便捷和 Flow 功能的强大,还能保持所有键盘本身拥有的功能。
Flowify 模块兼容主控: K375s, K780 (理论上可以兼容K850主控,然而并未经过测试,而且由于K850难以购买且价格较高并不推荐)👉 进一步了解
Forwarded from Deleted Account avoids KeyMaster #AntiBigData
I laughed because speaking softly doesn't help at all.