美国网络和基础设施安全局(CISA)对被拼多多应用利用的一个 Android 高危漏洞发出警告
编号为 CVE-2023-20963 的 Android Framework 漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的 Android 设备上提权。Google 在三月初释出了补丁修复了漏洞,表示该漏洞正被用于针对性的利用。3 月 21 日 Google 从其应用商店下架了拼多多应用。(Solidot)
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
TG将可以隐藏群组成员
在 Android 和 iOS 版 Telegram 测试版中,管理员可以隐藏群聊中的成员列表。
启用该设置后,只有非匿名组管理员在成员列表中可见。 管理员自己仍然可以看到所有聊天成员的列表。
该选项适用于 100 名成员以上的超级群。 设置项位于“Members”部分。
启用后成员列表不仅对 Beta 版用户隐藏,而且对使用最新稳定版应用程序(Android、iOS、macOS、Unigram — 9.2、Desktop — 4.4)的用户也是隐藏的。
—— Beta Info
明年 Android 将不再支持 32 位应用
上周,Google 正式发布了 Android 13 并率先向 Pixel 设备推送了系统更新,其他 OEM 厂商也将跟进这一最新系统,并会在今年晚些时候向他们旗下的设备推送更新。
近日,Mishaal Rahman 在 Android 13 的代码仓库中发现了一个有趣的提交 —— “Move tangor to 64-bit only”。根据这个提交信息,似乎表明 Google 即将推出的 Pixel 平板电脑将仅支持 64 位的 Android 应用。
除了发现明年推出的 Pixel 平板电脑不支持 32 位应用以外,Mishaal Rahman 还发现了另一个提交,其中有提到在安装了 Android U(Android 14) 或更高版本上的设备上无法运行 32 位应用的字样。
—— OSCHINA
谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞
本周早些时候,Google 发布了 2022 年 4 月份的 Android 安全更新,但它并未包含对上月曝光的“Dirty Pipe”漏洞的修补。
庆幸的是,尽管大多数厂商可能要拖到 5 月才推出补丁,但谷歌和三星已经先行一步。
据悉,作为 Linux 内核中发现的一个安全漏洞,CVE-2022-0847 会允许某人在只读进程中注入并覆盖数据,而无需 root 或任何管理员权限。
XDA-Developers指出:Dirty Pipe 漏洞已被用于在 Android 设备上实现临时 root 访问,但也很容易被恶意软件和其它未知软件获得系统访问权限。
目前 Linux 内核(Kernel 5.16.11、5.15.25 和 5.10.102)已经完成 CVE-2022-0847 安全漏洞的修复,但可惜谷歌尚未将它全面包含到 2022 年 4 月份的 Android 安全更新中。
不愿等待 5 月安全更新的朋友,如果你正在使用 Pixel 6 / 6 Pro,那现在已经能够获取谷歌在周四发布的 Android QPR3 Beta 2(包含该内核补丁)。
与此同时,三星也率先为旗下 Galaxy 设备的 4 月 Android 更新引入了该修复程序(有在安全公告中提及 CVE-2022-0847),且被验证能够抵御 Dirty Pipe 攻击。
尴尬的是,小米12 / 12 Pro 的速度太过拖沓 —— 自 2 月首发以来,尚未向用户提供过安全更新,此外一加等 Android 智能机厂商也尚未发布其 4 月更新。
在此之前,还请广大 Android 智能机用户保持良好的使用习惯,尤其注意不安装来源不明的 APK 文件。
—— cnBeta
Android 恶意程序 BRATA 能在窃取数据之后抹掉设备所有数据
最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置,抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT(远程访问工具),主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现,并增加了更多功能,它发展成为窃取电子银行登录凭证的恶意程序。
其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户,每个变种针对了不同的银行,都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹,会在执行渗透前删除安全工具。
—— solidot
安卓版 Telegram 构建与源代码不一致
非官方 Telegram 修改程序 Nekogram 的一名开发者抱怨官方 Telegram for Android 应用程序中的可复现构建的系统不可行。据开发者称,这个问题已经连续出现在好几个版本。
Telegram Info 的编辑人员按照指示运行了构建,并确认了问题:生成的 APK 文件与官方网站和应用程序的版本不一致。
可复现构建(Reproducible builds)确保来自 Google Play 和网站的应用程序的安装文件与发布的源代码相匹配。如果构建结果趋于一致,这意味着 Telegram 团队已经完整地发布了该应用的代码,没有添加任何隐藏功能。
可复现构建的系统很可能是被意外破坏的,将来会被修复。
—— Telegram Info
一位专业人士声称Android11之后,应用程序无需权限即可向标准文件夹添加文件
Magisk 的代码贡献者南宫雪珊说:
从Android11开始,应用能「不需要」存储权限,向Download、Documents等标准文件夹内新增文件或文件夹,传统的File API就行。并且,可以读取存储空间全部文件夹名字。仅名字,即目录结构,文件看不到。(但自己添加的文件在卸载前能一直看见并修改)
再次重复:以上这些读写行为,都不需要授予存储权限,只需要Android 11+。
目前正在利用这一行为(注意这不是漏洞,是Android11的行为变化)的app有哔哩哔哩,它在 Documents 文件夹内存放了用户ID文件,可能用于持久跟踪。
鉴于卸载重装后,之前新增的文件不再对它可见,所以哔哩哔哩还采用了文件夹名字来存放用户ID。
—— @vvb2060Channel
相关参考:
https://developer.android.com/preview/privacy/storage#media-direct-file-native
Google将不再允许用户用非常老的Android版本登录其服务
Google正在结束对Android 2.3.7及以下版本登录其应用程序的支持。该公告是通过电子邮件向所有仍在积极使用这些Android版本的用户宣布的。Google表示,“将不再支持在Google应用上登录你的账户”。
该公司表示,这一变化将只影响系统和应用程序级别的登录,不会影响网络浏览器。这意味着用户将不再能够登录YouTube、Gmail、Google Drive和其他需要Google账户的应用。用户将只能用3.0或更新的Android版本登录他们的账户。
微软在宣布 Windows 11 时透露它能运行 Android 应用。Windows Developer Platform 企业副总裁 Kevin Gallo 公开了这一功能背后的技术细节:Windows Subsystem for Android。它的作用类似 Windows Subsystem for Linux (WSL),在 Android 应用模型和 Windows 应用模型之间提供一个代理原生应用,将有一个虚拟机提供对 Android Open Source Project (AOSP)的兼容。亚马逊已经宣布将和微软合作将其应用商店带到 Windows 11 上。
—— JJ zhang