【拼多多apk内嵌提权代码,利用了 Android 系统漏洞提权使其难以卸载】
拼多多APP首先利用了多个厂商 OEM 代码中的反序列化漏洞提权。
提权控制手机系统之后,拼多多APP即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)。
之后,拼多多APP利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。
https://www.solidot.org/story?sid=74293
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
https://github.com/davinci1010/pinduoduo_backdoor
#拼多多 #隐私与安全 source
拼多多APP首先利用了多个厂商 OEM 代码中的反序列化漏洞提权。
提权控制手机系统之后,拼多多APP即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)。
之后,拼多多APP利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。
https://www.solidot.org/story?sid=74293
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
https://github.com/davinci1010/pinduoduo_backdoor
#拼多多 #隐私与安全 source
This media is not supported in your browser
VIEW IN TELEGRAM
我一直觉得 LumaAI 是一个被严重低估的3D扫描应用,扫描质量高得可怕(看图1的叶脉)
引入 NeRF 技术后,对场景的重建能力也得到了夸张的提升:只要导入一个手稳的视频,就能重建视频里的真实场景。
而且!你可以重新自定义相机的运动路径,手持拍摄秒变穿越机航拍……(见图3~5)
▶️ 下载地址:ios上就有(但登录需要🌐,这也是国内讨论较少的原因吧)
▶️ 官方推特: https://twitter.com/LumaLabsAI (超多案例)
上周他们甚至发布了 video to 3D 的 API ,趁机再推荐一次,坐等各位开发者大佬表演了~~
#LumaAI# source
引入 NeRF 技术后,对场景的重建能力也得到了夸张的提升:只要导入一个手稳的视频,就能重建视频里的真实场景。
而且!你可以重新自定义相机的运动路径,手持拍摄秒变穿越机航拍……(见图3~5)
▶️ 下载地址:ios上就有(但登录需要🌐,这也是国内讨论较少的原因吧)
▶️ 官方推特: https://twitter.com/LumaLabsAI (超多案例)
上周他们甚至发布了 video to 3D 的 API ,趁机再推荐一次,坐等各位开发者大佬表演了~~
#LumaAI# source
斯坦福的最新整活是真的有点意思: 它把25个全部都由AI人格控制的像素角色投放到了一个沙盒小镇里,然后以上帝视角观看它们的日常生活和社交行为,也许有一天某个角色会说出:我们是不是活在虚拟世界里?
https://reverie.herokuapp.com/arXiv_Demo ←点链接可体验上帝视角,我发现ai真的有自己的对话和想法 source
https://reverie.herokuapp.com/arXiv_Demo ←点链接可体验上帝视角,我发现ai真的有自己的对话和想法 source
Forwarded from 微博精选
This media is not supported in your browser
VIEW IN TELEGRAM
好家伙,一下子往浏览器里边进驻了一整支AI专家团队?
推荐一个基于OPENAI GPT API的chrome浏览器插件,teamsmart.ai,预制了大概20个不同专业的角色化AI,然后开局你可以选5个英雄
PS: 我选的是代码专家+文书专家+prompt 专家+网页分析师+精神导师
测试了在输入同样需求的情况下,表现比原生chatGPT要好(估计是插件中根据角色内嵌了强化prompt)。感觉又是一个chrome常驻插件了。。
https://www.teamsmart.ai/ source
推荐一个基于OPENAI GPT API的chrome浏览器插件,teamsmart.ai,预制了大概20个不同专业的角色化AI,然后开局你可以选5个英雄
PS: 我选的是代码专家+文书专家+prompt 专家+网页分析师+精神导师
测试了在输入同样需求的情况下,表现比原生chatGPT要好(估计是插件中根据角色内嵌了强化prompt)。感觉又是一个chrome常驻插件了。。
https://www.teamsmart.ai/ source
Forwarded from Alien外星人
有个百度的朋友最近面临裁员,知道我曾经和字节在离职问题上撕过而且满载而归,找我问问意见。干脆写一个tips合集,如果你也面临公司裁员,那么可以参考一下我的这篇短文。
声明一下,以下是守规矩的大公司“anti-laying off”攻略,如果你的公司不守规矩或者是小公司,则不一定适用。
一共12条tips。正文开始。
1,真正的离职赔偿是2N起步,而非以讹传讹的N+1。因为2N是劳动合同法规定的资方违约裁员的补偿标准。只要你不同意被裁,公司就只能单方面违约,因此必须最低给2N。
2,计算赔偿金的时候,年终奖要计入员工收入。中国的劳动法、劳动合同法没有“年终奖”这个概念,只有奖金。如果你是年薪制(大厂程序员基本都是这样),那么年终奖就是你的合法收入,分家的时候要计算在内,而非看公司脸色。当然,也有判例不支持年终奖的,要一事一议,但自己的诉求一定要提出来。另外中国有一个《关于工资总额组成的规定》,不是法律,只是个法规,但依然可以用来支持年终奖诉求。
3,在最终谈判阶段,对付大公司最有效的策略是“躺平”,公司和领导最担心你“污染”整个职场,而你每多呆一天都是拿工资的。派活?痛快接。到期问进度?Delay。简而言之,就是把“我躺平”三个字写在脸上但又永远不要明说。如果你有一个零产出、污染环境、还工资照发的员工,想想到底谁最着急?
4,不要做什么“整顿职场”的蠢事,少说、多听、不做事。谈判会持续多轮,因此前面几轮尽量少表达个人态度,不要显得自己很着急很气氛,多获取对方的情报。慢慢来,充分表达出“很喜欢公司、愿意为公司奋斗终生”的正能量,胸有成竹、或者起码让别人以为你胸有成竹。
5,通读《劳动合同法》(注意,不是劳动法),这本小册子将是最近5年内给你带来最高回报的一本书。例如,一晚上读完然后让你多拿两个月工资。
6,公司百分百会以绩效问题劝退你。告诉你一个劳动纠纷领域的细节,公司想要合法裁员,首先要培训、然后调岗、最后还要证明你绩效不行。而前两点都必须获得你的同意才能继续。换言之,只要你够硬,公司就不可能“合法”的裁掉你。至于第三点“证明绩效”,这是个不可能完成的任务,按照中国的判例比例,只要公司以“绩效不达标”的理由来裁员,95%的企业会在法庭上败诉。所以,公司和你谈绩效,你的反应是“不接受,不辩驳,绩效这种东西主观性很强,咱们求同存异”。必要的时候,把这个败诉比例告诉HR,让他们长长见识。
7,谈判的核心是“离职package”,也就是落实到具体多少钱上,不要被眼花缭乱的说法迷了眼。有时候公司会用“缓冲期”来替代一部分赔偿金,这个是可以接受的,毕竟缓冲期不用上班还有工资。
8,如果HR以背景调查、离职证明、你的行业声誉来来威胁你,你告诉他,你已经录音,他所说的内容已经涉嫌敲诈勒索和侵犯名誉权(是真的涉嫌,不是吓唬他),如果发现他做了相关行为,你会发起刑事自诉附带民事诉讼,后面就不是你和他谈判了,而是公安和检察院和他谈判了。都是为了赚钱,没必要把自己兜进去。
9,离职证明是用来表明劳动关系解除的法律文件,仅此而已,不能写什么离职原因、员工绩效,更不能写小作文。如果他们写了,恭喜你,又来钱了。
10,劳动仲裁都是搅混水的。真到了非仲裁不可的地步,认真准备仲裁材料,但别指望能给你解决问题。要认真准备民事诉讼,可以不请律师,自己DIY。
11,所有谈判对话都要录音,不要管什么取证合法性,先录了再说,未来用不用再说。开会谈判,你可以带两个手机,一个藏起来录音,另一个放桌子上当面关机。这些录音在未来可以用来复盘,不一定作为法庭证据。
12,不要陪领导和HR玩什么公司游戏,例如什么职业道德委员会、什么绩效申诉等等,“入此门者,当放弃一切希望”。不要指望有个青天大老爷帮你这个“弃子”匡扶正义。你从知道要被裁员那天起,就已经站在公司的对立面了。
差不多就这些,后面想到继续补充。
声明一下,以下是守规矩的大公司“anti-laying off”攻略,如果你的公司不守规矩或者是小公司,则不一定适用。
一共12条tips。正文开始。
1,真正的离职赔偿是2N起步,而非以讹传讹的N+1。因为2N是劳动合同法规定的资方违约裁员的补偿标准。只要你不同意被裁,公司就只能单方面违约,因此必须最低给2N。
2,计算赔偿金的时候,年终奖要计入员工收入。中国的劳动法、劳动合同法没有“年终奖”这个概念,只有奖金。如果你是年薪制(大厂程序员基本都是这样),那么年终奖就是你的合法收入,分家的时候要计算在内,而非看公司脸色。当然,也有判例不支持年终奖的,要一事一议,但自己的诉求一定要提出来。另外中国有一个《关于工资总额组成的规定》,不是法律,只是个法规,但依然可以用来支持年终奖诉求。
3,在最终谈判阶段,对付大公司最有效的策略是“躺平”,公司和领导最担心你“污染”整个职场,而你每多呆一天都是拿工资的。派活?痛快接。到期问进度?Delay。简而言之,就是把“我躺平”三个字写在脸上但又永远不要明说。如果你有一个零产出、污染环境、还工资照发的员工,想想到底谁最着急?
4,不要做什么“整顿职场”的蠢事,少说、多听、不做事。谈判会持续多轮,因此前面几轮尽量少表达个人态度,不要显得自己很着急很气氛,多获取对方的情报。慢慢来,充分表达出“很喜欢公司、愿意为公司奋斗终生”的正能量,胸有成竹、或者起码让别人以为你胸有成竹。
5,通读《劳动合同法》(注意,不是劳动法),这本小册子将是最近5年内给你带来最高回报的一本书。例如,一晚上读完然后让你多拿两个月工资。
6,公司百分百会以绩效问题劝退你。告诉你一个劳动纠纷领域的细节,公司想要合法裁员,首先要培训、然后调岗、最后还要证明你绩效不行。而前两点都必须获得你的同意才能继续。换言之,只要你够硬,公司就不可能“合法”的裁掉你。至于第三点“证明绩效”,这是个不可能完成的任务,按照中国的判例比例,只要公司以“绩效不达标”的理由来裁员,95%的企业会在法庭上败诉。所以,公司和你谈绩效,你的反应是“不接受,不辩驳,绩效这种东西主观性很强,咱们求同存异”。必要的时候,把这个败诉比例告诉HR,让他们长长见识。
7,谈判的核心是“离职package”,也就是落实到具体多少钱上,不要被眼花缭乱的说法迷了眼。有时候公司会用“缓冲期”来替代一部分赔偿金,这个是可以接受的,毕竟缓冲期不用上班还有工资。
8,如果HR以背景调查、离职证明、你的行业声誉来来威胁你,你告诉他,你已经录音,他所说的内容已经涉嫌敲诈勒索和侵犯名誉权(是真的涉嫌,不是吓唬他),如果发现他做了相关行为,你会发起刑事自诉附带民事诉讼,后面就不是你和他谈判了,而是公安和检察院和他谈判了。都是为了赚钱,没必要把自己兜进去。
9,离职证明是用来表明劳动关系解除的法律文件,仅此而已,不能写什么离职原因、员工绩效,更不能写小作文。如果他们写了,恭喜你,又来钱了。
10,劳动仲裁都是搅混水的。真到了非仲裁不可的地步,认真准备仲裁材料,但别指望能给你解决问题。要认真准备民事诉讼,可以不请律师,自己DIY。
11,所有谈判对话都要录音,不要管什么取证合法性,先录了再说,未来用不用再说。开会谈判,你可以带两个手机,一个藏起来录音,另一个放桌子上当面关机。这些录音在未来可以用来复盘,不一定作为法庭证据。
12,不要陪领导和HR玩什么公司游戏,例如什么职业道德委员会、什么绩效申诉等等,“入此门者,当放弃一切希望”。不要指望有个青天大老爷帮你这个“弃子”匡扶正义。你从知道要被裁员那天起,就已经站在公司的对立面了。
差不多就这些,后面想到继续补充。
Forwarded from 推特精选
我们联手研究人员和反审查社区的开发者,在 USENIXSecurity23 会议上发表了新的论文。文章揭示并且成功绕过了中国防火长城GFW自2021年11月启用的新审查武器。该系统能够实时动态地封锁全加密流量,影响到诸如Shadowsocks,VMess,以及Obfs4等一大批主流翻墙软件。论文中文版: https://gfw.report/publications/usenixsecurity23/zh/ source
Forwarded from 微博精选
This media is not supported in your browser
VIEW IN TELEGRAM
吴恩达和OpenAI携手推出了一门免费的Prompt Engineering(提示工程师)课程,旨在为AI开发者们提供一个全面而深入的学习平台。该课程内容涵盖了如何书写高质量的AI提示词,以及如何利用GPT-3的先进技术开发一个高效、智能的AI聊天机器人。无论你是初学者还是经验丰富的专业人士,该课程都将为你提供一种系统而有效的学习方法。
课程地址:https://www.deeplearning.ai/short-courses/chatgpt-prompt-engineering-for-developers/
网友歸藏( twitter.com/op7418 )翻译了双语字幕:
https://pan.quark.cn/s/7a9c58be3052#/list/share
https://onedrive.live.com/?cid=f1f201e9f0297f77&id=F1F201E9F0297F77%216682&ithint=folder&authkey=%21AIxqNyaFvBfJrSM
https://drive.google.com/drive/folders/1WK5vVbo79FgsUKEDBDRCPHOcjugZWeSv source
课程地址:https://www.deeplearning.ai/short-courses/chatgpt-prompt-engineering-for-developers/
网友歸藏( twitter.com/op7418 )翻译了双语字幕:
https://pan.quark.cn/s/7a9c58be3052#/list/share
https://onedrive.live.com/?cid=f1f201e9f0297f77&id=F1F201E9F0297F77%216682&ithint=folder&authkey=%21AIxqNyaFvBfJrSM
https://drive.google.com/drive/folders/1WK5vVbo79FgsUKEDBDRCPHOcjugZWeSv source
Forwarded from 微博精选
This media is not supported in your browser
VIEW IN TELEGRAM
今天花了一天时间,将《ChatGPT 提示工程》视频教程的所有字幕都翻译完了。
该教程由吴恩达老师与 OpenAI 开发者 Iza Fulford 联手教授。
教程总共分为 9 个章节,时长一个多小时,里面主要涵盖:提示词最佳实践、评论情感分类、文本总结、邮件撰写、文本翻译、快速搭建一个聊天机器人等等。
所有当下 ChatGPT 的流行案例,你都能在这个教程里面找到,十分全面!
除了能在这个教程里面学到如何使用 Prompt,你还能学到 GPT 接口调用开发知识。有需要的话,你甚至能在这个教程之上去延伸扩展,搭建出一款令人惊艳的应用。
目前该教程已经在 DeepLearning.ai 正式上线,官网上提供了可交互式的 Notebook,让你可以一边学习,一边跟着编写代码实践。
不过当下该教程只有英文版,为了让看不懂英文的同学也能第一时间学习并掌握这项技术,我完整翻译了所有英文字幕,并且将所有视频与字幕同步上传到了 B 站。
中文视频:https://www.bilibili.com/video/BV1s24y1F7eq/
英文视频:https://learn.deeplearning.ai/
该视频的中英文字幕源文件,我也将其开源到了 GitHub 上。
如果你在观看视频的过程中,发现翻译内容有错漏、错别字、病句等情况,欢迎向我们提交 Pull Request 以改进字幕翻译质量。
字幕地址: github.com/GitHubDaily/ChatGPT-Prompt-Engineering-for-Developers-in-Chinese source
该教程由吴恩达老师与 OpenAI 开发者 Iza Fulford 联手教授。
教程总共分为 9 个章节,时长一个多小时,里面主要涵盖:提示词最佳实践、评论情感分类、文本总结、邮件撰写、文本翻译、快速搭建一个聊天机器人等等。
所有当下 ChatGPT 的流行案例,你都能在这个教程里面找到,十分全面!
除了能在这个教程里面学到如何使用 Prompt,你还能学到 GPT 接口调用开发知识。有需要的话,你甚至能在这个教程之上去延伸扩展,搭建出一款令人惊艳的应用。
目前该教程已经在 DeepLearning.ai 正式上线,官网上提供了可交互式的 Notebook,让你可以一边学习,一边跟着编写代码实践。
不过当下该教程只有英文版,为了让看不懂英文的同学也能第一时间学习并掌握这项技术,我完整翻译了所有英文字幕,并且将所有视频与字幕同步上传到了 B 站。
中文视频:https://www.bilibili.com/video/BV1s24y1F7eq/
英文视频:https://learn.deeplearning.ai/
该视频的中英文字幕源文件,我也将其开源到了 GitHub 上。
如果你在观看视频的过程中,发现翻译内容有错漏、错别字、病句等情况,欢迎向我们提交 Pull Request 以改进字幕翻译质量。
字幕地址: github.com/GitHubDaily/ChatGPT-Prompt-Engineering-for-Developers-in-Chinese source
Forwarded from 科技圈🎗在花频道📮 (ㅤ)
任天堂对 GitHub 展开大规模 DMCA 行动,连让用户从 Switch 导出密钥的 Lockpick 都不放过
任天堂近日对 GitHub 发起了多项 DMCA(数字版权千年法案)的下架请求,其中包括一款名为 Lockpick 的热门工具。
Lockpick 是一款让用户从自己的 Switch 游戏机上导出密钥的工具,密钥可用于解密游戏数据和系统文件的重要信息。任天堂认为这种工具会侵犯其版权和知识产权,因此要求 GitHub 删除相关的代码库。
然而,这一举动引起了不少 Switch 用户和开发者的不满和反对。他们认为任天堂过于苛刻和霸道,不尊重用户的合法权益,也不理解开源社区的精神。他们指出,Lockpick 等工具并不是用于盗版或破解游戏的,而是让用户可以自由地备份和管理自己的游戏数据和系统文件。而且,这些工具只能从用户自己的 Switch 上导出密钥,而不是从其他地方获取,因此并不会给任天堂造成实质性的损失。
目前,GitHub 已经根据任天堂的请求删除了 Lockpick 等工具的代码库,但还有其他一些类似的工具和项目尚未受到影响。据称,任天堂还有其他一些下架请求正在进行中,但具体细节尚未公开。(IT之家)
频道: @TestFlightCN
任天堂近日对 GitHub 发起了多项 DMCA(数字版权千年法案)的下架请求,其中包括一款名为 Lockpick 的热门工具。
Lockpick 是一款让用户从自己的 Switch 游戏机上导出密钥的工具,密钥可用于解密游戏数据和系统文件的重要信息。任天堂认为这种工具会侵犯其版权和知识产权,因此要求 GitHub 删除相关的代码库。
然而,这一举动引起了不少 Switch 用户和开发者的不满和反对。他们认为任天堂过于苛刻和霸道,不尊重用户的合法权益,也不理解开源社区的精神。他们指出,Lockpick 等工具并不是用于盗版或破解游戏的,而是让用户可以自由地备份和管理自己的游戏数据和系统文件。而且,这些工具只能从用户自己的 Switch 上导出密钥,而不是从其他地方获取,因此并不会给任天堂造成实质性的损失。
目前,GitHub 已经根据任天堂的请求删除了 Lockpick 等工具的代码库,但还有其他一些类似的工具和项目尚未受到影响。据称,任天堂还有其他一些下架请求正在进行中,但具体细节尚未公开。(IT之家)
频道: @TestFlightCN