如果 GitHub 批量删除恶意软件的仓库,或者 npm 批量撤销被盗用的令牌,成千上万个受感染的系统可能会同时销毁用户数据。这种攻击的分布式特性意味着每台受感染的机器都会独立监控访问情况,并在检测到访问中断时触发用户数据的删除。
https://about.gitlab.com/blog/gitlab-discovers-widespread-npm-supply-chain-attack/
妙啊
about.gitlab.com
GitLab discovers widespread npm supply chain attack
Malware driving attack includes "dead man's switch" that can harm user data.
🤷41🤔7❤3😱3👏2🖕2😁1
南宫雪珊
反编译看了下,Google的修复是错误的,Google员工把操作post到Handler里面执行,导致2个后果: 1. 抛出的"overrideConfig with persistent=true only can be invoked by system app"异常不会传递到调用者,而是让 com.android.phone 崩溃,这是一个核心服务,频繁崩溃会触发设备救援,可用于拒绝服务。 2. Binder.getCallingUid() 获取的是自己的UID,导致系统应用判断理论上是永真。但 p…
https://cs.android.com/android/_/android/platform/packages/services/Telephony/+/c8123b01bc9c0a3799320342f0319e9b637a5f0d
这个错误的修复补丁已经开源了
这个错误的修复补丁已经开源了
😁62👍9🤡9💊4🤨1
chrome 已经默认支持 HLS
https://crrev.com/1533102
现在可以把m3u8链接输入地址栏,chrome会直接播放视频而不是下载清单文件。
整个功能完成花费了4年 https://crbug.com/40057824
https://crrev.com/1533102
现在可以把m3u8链接输入地址栏,chrome会直接播放视频而不是下载清单文件。
整个功能完成花费了4年 https://crbug.com/40057824
👍84🤣32🤡11👏3
南宫雪珊
反编译看了下,Google的修复是错误的,Google员工把操作post到Handler里面执行,导致2个后果: 1. 抛出的"overrideConfig with persistent=true only can be invoked by system app"异常不会传递到调用者,而是让 com.android.phone 崩溃,这是一个核心服务,频繁崩溃会触发设备救援,可用于拒绝服务。 2. Binder.getCallingUid() 获取的是自己的UID,导致系统应用判断理论上是永真。但 p…
警告!
使用 Pixel IMS 1.3.1 调整任何选项后会导致本补丁失效,并且Pixel IMS本身的调整也不会生效。
请只授予本补丁shizuku权限,撤销Pixel IMS的权限后,重启shizuku服务以恢复功能。
使用 Pixel IMS 1.3.1 调整任何选项后会导致本补丁失效,并且Pixel IMS本身的调整也不会生效。
请只授予本补丁shizuku权限,撤销Pixel IMS的权限后,重启shizuku服务以恢复功能。
⚡30👍10🤔7❤2😱2
南宫雪珊
警告! 使用 Pixel IMS 1.3.1 调整任何选项后会导致本补丁失效,并且Pixel IMS本身的调整也不会生效。 请只授予本补丁shizuku权限,撤销Pixel IMS的权限后,重启shizuku服务以恢复功能。
https://github.com/kyujin-cho/pixel-volte-patch/issues/398#issuecomment-3446763394
虽然已经和作者说过PR有问题,可惜他不听……现在合并PR后的Pixel IMS只有一个功能:让电话服务崩溃,同时清空全部运行时配置,所以我的补丁被它弄失效了⬆️
虽然已经和作者说过PR有问题,可惜他不听……现在合并PR后的Pixel IMS只有一个功能:让电话服务崩溃,同时清空全部运行时配置,所以我的补丁被它弄失效了
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
App crashes on A16 QPR2 Beta 3 · Issue #398 · kyujin-cho/pixel-volte-patch
Unable to enable VoLTE in the just released A16 QPR2 Beta 3. App crashes when enabling VoLTE or any toggle within the Pixel IMS app. It was working perfectly on beta 2 Device: Google Pixel 9 Pro XL...
🙉49👍13😁8👏4🤯3❤2🤬1
南宫雪珊
Android 12 后台静默升级 演示应用 在升级完成后,自我拉起,并且发送了一条通知。 https://github.com/vvb2060/PackageInstallerTest 欢迎MIUI用户使用此应用测试PackageInstaller API工作情况。预编译应用可在actions下载。
应用包安装组件(com.miui.packageinstaller)自 5.4.1.0.0 版本起修好了会话安装,虽然没有支持静默安装,但API正常工作,不会导致应用崩溃,能够完成安装流程。
简单来说,自API推出10年后,小米手机终于可以直接安装拆分包了,不再需要shizuku,真是可喜可贺。
简单来说,自API推出10年后,小米手机终于可以直接安装拆分包了,不再需要shizuku,真是可喜可贺。
👍45😁15
io.github.vvb2060.test.apk
8.1 KB
Android11起有一个新功能,限制apk能够安装的设备。如果设备属性不符合要求,apk会解析失败。
该示例apk只能在未解锁bootloader的设备上安装。
该示例apk只能在未解锁bootloader的设备上安装。
🤔67🤯29😁6🤣5🤬3👍1
https://learn.microsoft.com/zh-cn/archive/microsoft-edge/legacy/developer/dev-guide/windows-integration/web-authentication
telegram支持通行密钥登录了,发现保存凭据到Windows时,大家分享的截图不一样。
因为Windows共有4种不同安全级别的通行密钥实现。
telegram支持通行密钥登录了,发现保存凭据到Windows时,大家分享的截图不一样。
因为Windows共有4种不同安全级别的通行密钥实现。
😁34🥰13🤯10❤4🤬4
南宫雪珊
io.github.vvb2060.test.apk
io.github.vvb2060.test-se.apk
8.1 KB
新玩法,不能使用系统安装器安装的apk,shizuku安装器和adb命令行安装正常。
🤔50🥴17👍7❤3🔥2🆒2
南宫雪珊
https://developer.android.com/developer-verification/guides/faq 通过adb安装不需要验证apk的来源,因此最终用户可以使用shizuku或root自由安装任意apk。
https://developer.android.com/developer-verification/guides/android-developer-console
怀疑,真的有老实人去注册吗,为什么不直接上架play呢?
想了想,只有一种情况会去注册:被play拒绝上架的apk。
但想去注册的apk肯定不是恶意软件,这不正是证明了play审核无能,随意拒绝apk吗?
当然,这个政策是不会停止的,抬高安装门槛真的能有效降低恶意应用影响范围。
怀疑,真的有老实人去注册吗,为什么不直接上架play呢?
想了想,只有一种情况会去注册:被play拒绝上架的apk。
但想去注册的apk肯定不是恶意软件,这不正是证明了play审核无能,随意拒绝apk吗?
当然,这个政策是不会停止的,抬高安装门槛真的能有效降低恶意应用影响范围。
Android Developers
Android developer verification | Android Developers
👍53😁9🤯8🌚8❤3
南宫雪珊
警告! 使用 Pixel IMS 1.3.1 调整任何选项后会导致本补丁失效,并且Pixel IMS本身的调整也不会生效。 请只授予本补丁shizuku权限,撤销Pixel IMS的权限后,重启shizuku服务以恢复功能。
提示
本补丁会开启所有功能,但设备硬件、sim卡或当地基站不一定支持,请在系统设置中关闭不需要的功能。
例如基站不兼容运营商视频通话会导致无法接打电话,不支持Vo5G或VoWiFi会让设备不必要地消耗电量并且频繁唤醒。
本补丁会开启所有功能,但设备硬件、sim卡或当地基站不一定支持,请在系统设置中关闭不需要的功能。
例如基站不兼容运营商视频通话会导致无法接打电话,不支持Vo5G或VoWiFi会让设备不必要地消耗电量并且频繁唤醒。
🤡34❤20🤯3
南宫雪珊
反编译看了下,Google的修复是错误的,Google员工把操作post到Handler里面执行,导致2个后果: 1. 抛出的"overrideConfig with persistent=true only can be invoked by system app"异常不会传递到调用者,而是让 com.android.phone 崩溃,这是一个核心服务,频繁崩溃会触发设备救援,可用于拒绝服务。 2. Binder.getCallingUid() 获取的是自己的UID,导致系统应用判断理论上是永真。但 p…
app-release.apk
23.6 KB
Android16 QPR3 beta1 已经修复,现在可以正确判断系统app。故推出3.0版本补丁,利用提权沙箱提权至系统应用身份来持久覆盖配置,重启不会失效。
本补丁会自动判断配置是否可以持久化,所以不论系统安全补丁级别如何,所有设备都能安装使用。
但是,提权沙箱已经被Google弃用,随时可能云控禁用,且用且珍惜。
本补丁会自动判断配置是否可以持久化,所以不论系统安全补丁级别如何,所有设备都能安装使用。
但是,提权沙箱已经被Google弃用,随时可能云控禁用,且用且珍惜。
❤89🤯5🔥2😁1🤮1
南宫雪珊
私有网络的定义是 链路本地 169.254.0.0/16 电信级NAT 100.64.0.0/10 RFC1918私有网络 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 多播 224.0.0.0/4 广播 255.255.255.255 仅对WiFi和以太网有效,移动数据和VPN不受影响,DNS查询不受影响。 本地和公开网络不在范围内。
Android 准备限制私有网络和本地回环接口,可能在Android17,估计是运行时权限和普通权限。
🤬97👍41🤯13🥰4🤡4❤3😭3🔥1🤣1
从Android 9就有了
https://github.com/aosp-mirror/platform_frameworks_base/commit/081056475ea6f580fb0390d008c051f8f38175a7
sys-whitelist [package ...|reset]
Prefix the package with '-' to remove it from the system whitelist or '+' to put it back in the system whitelist.
Note that only packages that were earlier removed from the system whitelist can be added back.
reset will reset the whitelist to the original state
Prints the system whitelist if no arguments are specified
https://github.com/aosp-mirror/platform_frameworks_base/commit/081056475ea6f580fb0390d008c051f8f38175a7
sys-whitelist [package ...|reset]
Prefix the package with '-' to remove it from the system whitelist or '+' to put it back in the system whitelist.
Note that only packages that were earlier removed from the system whitelist can be added back.
reset will reset the whitelist to the original state
Prints the system whitelist if no arguments are specified
🥰16👍6❤3😁3