This media is not supported in your browser
VIEW IN TELEGRAM
ViperGPT:通过 Python 执行进行推理的视觉推理 https://viper.cs.columbia.edu/
Forwarded from Android Weekly Update ⚡️ (Alpha UMi)
该漏洞编号为 CVE-2023-21036,已在 3 月安全补丁中修复,理论上更新到最新的 Android 13 QPR2, QPR3 Beta 1 及 Android 14 DP2 即可,Pixel 4 及以前的 Pixel 用户请寻找第三方 ROM 或替代工具。
原理也很简单,当通过 Markup 编辑工具编辑时,它并没有真正删除原始截图信息,而是在上方覆盖。当编辑改动不是特别大时,便能因此恢复出原始截图未被覆盖的那部分信息。
上传到社交平台的截图通常会经过压缩,其中很多压缩算法会破坏尾部信息,所以尽管存在如此严重的安全漏洞,但就目前而言还不是随便在网上找一张 Pixel 涂改后的截图就可以还原出原始信息。
目前已知截至今年 1 月 17 日前的 Discord 压缩算法不会破坏截图的尾部信息,在此之前有在 Discord 上传过包含敏感信息,且仅使用 Pixel 涂改工具调整过的朋友只能自求多福了。
链接:
https://www.da.vidbuchanan.co.uk/blog/exploiting-acropalypse.html
原理也很简单,当通过 Markup 编辑工具编辑时,它并没有真正删除原始截图信息,而是在上方覆盖。当编辑改动不是特别大时,便能因此恢复出原始截图未被覆盖的那部分信息。
上传到社交平台的截图通常会经过压缩,其中很多压缩算法会破坏尾部信息,所以尽管存在如此严重的安全漏洞,但就目前而言还不是随便在网上找一张 Pixel 涂改后的截图就可以还原出原始信息。
目前已知截至今年 1 月 17 日前的 Discord 压缩算法不会破坏截图的尾部信息,在此之前有在 Discord 上传过包含敏感信息,且仅使用 Pixel 涂改工具调整过的朋友只能自求多福了。
链接:
https://www.da.vidbuchanan.co.uk/blog/exploiting-acropalypse.html
Forwarded from Appinn Feed
疑似油猴脚本托管网站 greasyfork 的所有 zh-cn 简体中文项目地址全部 404,将地址修改为其他语言后恢复正常:
greasyfork .org/zu-cn/scripts/ =====»»» greasyfork .org/en/scripts/
即可
greasyfork .org/zu-cn/scripts/ =====»»» greasyfork .org/en/scripts/
即可
Forwarded from Solidot
Google 将拼多多应用标记为恶意程序
2023-03-21 12:56:00 by 蒸汽歌剧
Google 周一将拼多多的多个应用标记为恶意程序,Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用,对于已经安装的应用,Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前,中国安全研究人员披露拼多多应用包含有恶意功能,能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。
https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/
#安全
2023-03-21 12:56:00 by 蒸汽歌剧
Google 周一将拼多多的多个应用标记为恶意程序,Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用,对于已经安装的应用,Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前,中国安全研究人员披露拼多多应用包含有恶意功能,能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。
https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/
#安全
Forwarded from 闲者时间
Obsidian 综述 02 - 近期值得推荐的功能、插件和主题
欢迎来到 Obsidian 综述系列!在这里,我们将分享近期 Obsidian 更新的功能、插件和主题等相关内容。如果您是一位 Obsidian 用户,或者对 Obsidian 的功能和迭代感兴趣,那么这个系列将会对您有帮助,以随时掌握最新
欢迎来到 Obsidian 综述系列!在这里,我们将分享近期 Obsidian 更新的功能、插件和主题等相关内容。如果您是一位 Obsidian 用户,或者对 Obsidian 的功能和迭代感兴趣,那么这个系列将会对您有帮助,以随时掌握最新
闲者时间
Obsidian 综述 02 - 近期值得推荐的功能、插件和主题
欢迎来到 Obsidian 综述系列!在这里,我们将分享近期 Obsidian 更新的功能、插件和主题等相关内容。如果您是一位 Obsidian 用户,或者对 Obsidian 的功能和迭代感兴趣,那么这个系列将会对您有帮助,以随时掌握最新...
Forwarded from Solidot
Lookout 确认拼多多的非 Play 版本包含恶意代码
2023-03-27 21:35:00 by 星火
本月早些时候,独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。这家巨头之后确认为拼多多。上周一 Google 将拼多多的多个应用标记为恶意程序。拼多多则发表声明,表示强烈反对一位匿名独立安全研究员关于其应用恶意的推测和指控。现在,安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析确认了 DarkNavy 的指控。初步分析显示,至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。该漏洞是 Google 在 3 月 6 日公开的,利用该漏洞可以提权,而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。 Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本,都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码,通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了,鉴于拼多多有数亿用户,受影响的用户数量可能是非常惊人。
https://arstechnica.com/?p=1926914
#安全
2023-03-27 21:35:00 by 星火
本月早些时候,独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。这家巨头之后确认为拼多多。上周一 Google 将拼多多的多个应用标记为恶意程序。拼多多则发表声明,表示强烈反对一位匿名独立安全研究员关于其应用恶意的推测和指控。现在,安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析确认了 DarkNavy 的指控。初步分析显示,至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。该漏洞是 Google 在 3 月 6 日公开的,利用该漏洞可以提权,而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。 Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本,都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码,通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了,鉴于拼多多有数亿用户,受影响的用户数量可能是非常惊人。
https://arstechnica.com/?p=1926914
#安全