共计 631 个字符,预计需要花费 2 分钟才能阅读完成。
|
好像 都没有人管管 真幸福啊 PDD 虽然便宜 但是 违法也不行啊 关键是竟然会没人管 印度这个国家真是无可救药了啊 |
网友回复:
注册 : PDD 利用安卓漏洞提权用户手机,获取友商资料,分析用户习惯
乌溜溜的黑眼猪 : 18 年就有了,厂商早就更新修复了,不用 13
silence: 什么意思??
ayue168: 不懂
虎谷 : 这都好几天了 mjj 才知道?现在也只能猜猜了,目前已无法复现 (很多人包括我都没成功复现)。文章中也没透露具体的信息。。不知道是不是指定渠道指定版本加的,也不知道是只热更状态还是全部热更。
闻风听雨 : 不止,据文章中描述还存在恶意保活和阻止卸载等操作。话说这个洞如果能读写 /data/system 的话,那华为 / 荣耀用户可能会迎来某种较多需求的解决方案,算是唯一正向的一件事,尽管这个洞的危害还是远大于收益。erofs 的 system,想实现必须通过这个办法了。。
flyqie: 拿走不谢 https://archive.is/lV1NX
flyqie: 谁跟你说 18 年厂商就修复了。。。18 年这类洞第一次出,aosp 这边确实做 fix 了,但只是哪发现了补哪,没改机制,所以还是有利用空间。这类洞属于设计缺陷 + aosp 开发者疏忽,aosp13 是因为改了机制所以不太可能出问题。况且,aosp 这个分裂的生态环境,部分厂家的部分设备是否同步上游安全补丁还是个未知数,经常有发售一段时间后不再维护的情况,不仅不提供系统版本更新,连安全补丁也不提供了,用户根本莫得办法。
正文完
