Forwarded from 隐私中国 Dark Web Inform
拼多多解散漏洞攻击团队 但还保留20人继续挖漏洞
据媒体报道,匿名的拼多多员工称,公司在 2020 年组建了一个大约由 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞,开发漏洞利用方法,将其转化为利润。
消息称拼多多最初不敢在全国范围都展开攻击,刚开始只针对农村和小城镇的用户,避开北上广之类的大城市,用来降低暴露的风险。
显然拼多多这只漏洞挖掘团队很有经验,其中的工程师应该之前就有过类似的经验,因为几年前 PC 端的垃圾软件推广就是这样,静默捆绑软件时,会刻意避开大城市,四五线中小城市是重灾区。
报道称在 2 月 28 日被曝光后,拼多多于 3 月 5 日发布新版本删除恶意代码,3 月 7 日拼多多解散了这个漏洞挖掘团队。
到 3 月 8 日这个漏洞挖掘团队的成员发现自己无法访问拼多多的内部通讯工具,也无法访问公司内网上的文件,另外大数据、数据表和日志系统的访问权限也被撤销。
显然这是拼多多发现情况不对后应该想要毁灭痕迹,估计这时候并夕夕已经清理这个团队的日常活动和通讯记录。
但仍保留 20 名核心工程师致力于挖掘漏洞:
消息还指出这个 100 余名的团队被解散后,大部分工程师被转到拼多多国际版工作,他们被分配子公司的不同部门,一些工程师负责营销和开发推送通知。
但拼多多似乎并不死心,一个由 20 名网络安全工程师组成的核心团队仍然留在拼多多,他们继续从事发现和利用漏洞的工作。
另外尽管拼多多已经将漏洞删除,但底层代码仍然还在,拼多多估计想等着风头过去继续开发漏洞攻击用户。
据媒体报道,匿名的拼多多员工称,公司在 2020 年组建了一个大约由 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞,开发漏洞利用方法,将其转化为利润。
消息称拼多多最初不敢在全国范围都展开攻击,刚开始只针对农村和小城镇的用户,避开北上广之类的大城市,用来降低暴露的风险。
显然拼多多这只漏洞挖掘团队很有经验,其中的工程师应该之前就有过类似的经验,因为几年前 PC 端的垃圾软件推广就是这样,静默捆绑软件时,会刻意避开大城市,四五线中小城市是重灾区。
报道称在 2 月 28 日被曝光后,拼多多于 3 月 5 日发布新版本删除恶意代码,3 月 7 日拼多多解散了这个漏洞挖掘团队。
到 3 月 8 日这个漏洞挖掘团队的成员发现自己无法访问拼多多的内部通讯工具,也无法访问公司内网上的文件,另外大数据、数据表和日志系统的访问权限也被撤销。
显然这是拼多多发现情况不对后应该想要毁灭痕迹,估计这时候并夕夕已经清理这个团队的日常活动和通讯记录。
但仍保留 20 名核心工程师致力于挖掘漏洞:
消息还指出这个 100 余名的团队被解散后,大部分工程师被转到拼多多国际版工作,他们被分配子公司的不同部门,一些工程师负责营销和开发推送通知。
但拼多多似乎并不死心,一个由 20 名网络安全工程师组成的核心团队仍然留在拼多多,他们继续从事发现和利用漏洞的工作。
另外尽管拼多多已经将漏洞删除,但底层代码仍然还在,拼多多估计想等着风头过去继续开发漏洞攻击用户。
目前发现 Android 开发者工具platform-tools 最新版本 v34.0 及 v34.0.1 存在问题,在使用该版本的 fastboot 有概率无法正常刷入 Pixel 6/7 的工厂映像,导致设备刷入后无法正常开机
目前 Google 已定位问题并正在修复,若最近有线刷需求的 Pixel 6 / 7 用户请降级至 platform-tools v33.0.3 重刷。
问题追踪:
https://issuetracker.google.com/issues/268872725
目前 Google 已定位问题并正在修复,若最近有线刷需求的 Pixel 6 / 7 用户请降级至 platform-tools v33.0.3 重刷。
问题追踪:
https://issuetracker.google.com/issues/268872725
Forwarded from 每日消费电子观察 (无羽の翼 (「 • ̀ω•́ )「)
Google Play 将要求所有 Android 应用都允许用户删除数据
谷歌正在给 Play Store 引入一项新的规则,要求开发者在应用内必须提供一个简单的方法来允许用户删除帐户及关联数据。帐户删除选项也将以在线网站形式在 Google Play 商店中提供链接,而无需重新安装 App。
用户发出删除帐户的请求时,开发者还必须删除与该帐户关联的数据。若出于安全、欺诈预防或合规性等合法原因需要保留某些数据,开发者必须明确披露这些数据保留做法。
Google 表示此举旨在“更好地教育”用户控制他们的数据,并培养对应用程序和整个 Play 商店的信任。
Google 要求开发者在12月7日之前遵守新政策,最迟可以申请宽限至2024年5月31日。
苹果 App Store 在去年6月已对应用开发者做出类似要求。
https://android-developers.googleblog.com/2023/04/giving-people-more-control-over-their-data.html
谷歌正在给 Play Store 引入一项新的规则,要求开发者在应用内必须提供一个简单的方法来允许用户删除帐户及关联数据。帐户删除选项也将以在线网站形式在 Google Play 商店中提供链接,而无需重新安装 App。
用户发出删除帐户的请求时,开发者还必须删除与该帐户关联的数据。若出于安全、欺诈预防或合规性等合法原因需要保留某些数据,开发者必须明确披露这些数据保留做法。
Google 表示此举旨在“更好地教育”用户控制他们的数据,并培养对应用程序和整个 Play 商店的信任。
Google 要求开发者在12月7日之前遵守新政策,最迟可以申请宽限至2024年5月31日。
苹果 App Store 在去年6月已对应用开发者做出类似要求。
https://android-developers.googleblog.com/2023/04/giving-people-more-control-over-their-data.html
Android Developers Blog
Giving Users More Transparency and Control Over Account Data
A new data deletion policy aims to empower users with greater clarity and control over their in-app data.
Android Weekly Update ⚡️
Android 13 QPR3 Beta 2 已发布,版本号 T3B2.230316.003 距离 Beta 1 仅隔了半个月左右,原本按惯例同月发布的第二版 Beta 应该叫 Beta 1.1 的,Google 的命名真是越来越看不懂了… 既然是三月末发布的,自然也没有新的安全补丁更新,主要以修 Bug 为主。 链接: https://developer.android.com/about/versions/13/get-qpr
昨日发布 Android QPR3 Beta 2.1,版本号 T3B2.230316.005
根据更新日志,本次 Beta 2.1 更新只更新了基带;已知问题列表和 QPR3 Beta 2 一模一样,也仍然没有四月安全补丁。
更新日志:
https://www.reddit.com/r/android_beta/comments/12dt4mq/android_13_qpr3_beta_21_patch_now_available
根据更新日志,本次 Beta 2.1 更新只更新了基带;已知问题列表和 QPR3 Beta 2 一模一样,也仍然没有四月安全补丁。
更新日志:
https://www.reddit.com/r/android_beta/comments/12dt4mq/android_13_qpr3_beta_21_patch_now_available
Nexus 系列自带的桌面 "Google Now Launcher" 将于本月停止服务
虽然名为桌面,但其本体其实只附带了部分功能链接和一套 Material Design 风格壁纸,其大部分核心功能依赖 Google App 所提供。
最近在 Google App 更新 14.14 Beta 后,Google 终于打算砍掉这个功能了。预计未来的 Google App 将不再内置 Google Now 桌面所依赖的核心功能,而本体将从砍掉该功能的 Google App 发布起正式退役。
虽然名为桌面,但其本体其实只附带了部分功能链接和一套 Material Design 风格壁纸,其大部分核心功能依赖 Google App 所提供。
最近在 Google App 更新 14.14 Beta 后,Google 终于打算砍掉这个功能了。预计未来的 Google App 将不再内置 Google Now 桌面所依赖的核心功能,而本体将从砍掉该功能的 Google App 发布起正式退役。
Pixel 四月例行安全更新已发布,也是基于 Android 13 QPR2 的第二版正式更新,版本号 TQ2A.230405.003。除安全补丁外本次还公告修复了数个 BUG
先前 Pixel 更新往往随 AOSP 当月安全补丁一同发布。但包括本月在内,Pixel 已两次推迟更新的发布时间,以至于有厂商先于 Pixel 大规模推送当月安全补丁。不知是更新策略调整,还是恰好都遇到了某些问题导致更新延期。
更新日志:
https://support.google.com/pixelphone/thread/210383803/google-pixel-update-april-2023
先前 Pixel 更新往往随 AOSP 当月安全补丁一同发布。但包括本月在内,Pixel 已两次推迟更新的发布时间,以至于有厂商先于 Pixel 大规模推送当月安全补丁。不知是更新策略调整,还是恰好都遇到了某些问题导致更新延期。
更新日志:
https://support.google.com/pixelphone/thread/210383803/google-pixel-update-april-2023
Android 14 Beta 1 于今日正式发布,版本号 UPB1.230309.014
同时 Android 14 Beta Program 也已开启,支持 Pixel 4a (5G) 及更新的机型加入测试。
Beta 1 相比先前开发者预览版没有太多显著变化,可能要等到 5 月 10 日 Google 召开 I/O 大会 (同期发布 Beta 2) 才有比较明确的新功能汇总。
目前有加入 Android 13 Beta Program 并且想切换到 Android 14 通道的朋友,建议先退出 13 Beta Program 计划再加入 14 Beta Program,同时注册两个 Beta 计划可能导致 Google 错误向高版本推送低版本 OTA 包导致设备无法正常开机(有数次先例)
而开发者可以参阅官方发布的简要发布新闻稿来了解 API 行为变更:
https://android-developers.googleblog.com/2023/04/android-14-beta-1.html
同时 Android 14 Beta Program 也已开启,支持 Pixel 4a (5G) 及更新的机型加入测试。
Beta 1 相比先前开发者预览版没有太多显著变化,可能要等到 5 月 10 日 Google 召开 I/O 大会 (同期发布 Beta 2) 才有比较明确的新功能汇总。
目前有加入 Android 13 Beta Program 并且想切换到 Android 14 通道的朋友,建议先退出 13 Beta Program 计划再加入 14 Beta Program,同时注册两个 Beta 计划可能导致 Google 错误向高版本推送低版本 OTA 包导致设备无法正常开机(有数次先例)
而开发者可以参阅官方发布的简要发布新闻稿来了解 API 行为变更:
https://android-developers.googleblog.com/2023/04/android-14-beta-1.html
Android Developers Blog
Android 14 Beta 1
We've been making progress refining the features and stability of Android 14 to open the experience up to both developers and early-adopters.
尽管 LG 早在 2021 年 4 月就已宣布放弃智能手机业务,但其仍在履行更新支持承诺。目前 LG 正在韩国市场推送 Wing 的 Android 13 大版本更新,并附带 2023 年 3 月安全补丁。
更新日志:
https://www.lge.co.kr/support/mobile-sw-update-SW20230411286003 (韩文)
更新公告:
https://www.lge.co.kr/support/mobile-sw-update-SW20230410286002 (韩文)
更新日志:
https://www.lge.co.kr/support/mobile-sw-update-SW20230411286003 (韩文)
更新公告:
https://www.lge.co.kr/support/mobile-sw-update-SW20230410286002 (韩文)