手机相关，最近酷安有个刷第三方刷机包被远程格机的事情

fcbjay

开源也不一定安全啊
那么多代码真的有人一行行看过去吗，有恶意代码也可能没被发现
然后就像楼上说的，刷机包也不是自己编译的，谁知道有没有加料。当然，这种付费闭源的更是心大，出什么事也不奇怪

titians

手机作为最重要的个人财物，真的不知道为什么有那么多人敢用不知名网友做的东西。我连app都不下酷安的破解版。

wx40217

科普一下格机模块的事情 大概是这样的：
安卓搞基有个很重要的组成部分是Xposed 大概是通过hook的方式能进入到APP和系统里进行修改
然后原生Xposed大概在安卓6 还是7的时候就结束使命了 之后很长一段时间用的都是基于riru和magisk的edxposed
然后edposed更新通道有一个金丝雀通道  是有人往GitHub上push了commit就自动构建发布的 有个byd代码里写个rm -rf就发上去 然后构建出来装了的人就被格机了

顺便一提我实在不太理解为什么权限这么大的模块大家都喜欢装cicd构建的 包括小绿书这些地方也都是以最新cicd为讨论基础 视stable和beta为无物

—— 来自 Xiaomi 2211133C, Android 13上的 S1Next-鹅版 v2.5.4

cleaner

以后想玩刷机可能选择只剩下亲儿子了

炸了个毛

某次刷其他rom结果调色一坨屎，就没用过第三方系统了
在用lsposed，这玩意的风险大不大？

phorcys02

都2023年了，还敢刷第三方rom的都是勇士，小10年前埋广告agent就是rom作者营收的主要途径了
一个可以给你静默安装app的后门=手机裸奔
现在人手机里动辄六七位数资产入口，敢挑战第三方rom，堪比肉身奔赴缅甸

yourSwaTer

我就刷了个欧版miui，不敢刷第三方。

Midnight.Coup

bl0ck 发表于 2023-9-15 12:23
arm支持解bl是硬件熔断安全接线，非开发者任何人都不要随便解bl锁，不可逆的

—— 来自 S1Fun ...

老一加，pixel 都可以锁回去，三星索尼才是熔断机制
Pixel 甚至可以在解 BL 状态下保持 L1 DRM
解 BL 最大的风险是手机丢了，被物理接触后找回这些功能直接失效，数据安全也会有风险，但不解 BL 锁强刷也能把手机重置再卖出去

Midnight.Coup

Ichthy 发表于 2023-9-15 12:45
现在都有收费刷机包了最后刷机还是6.0了，我以为除了xda其他论坛都已经死了呢 ...

其他论坛确实都死了，主流交流地在电报/Q群

posthoc

循此苦旅 发表于 2023-9-14 20:38
Windows系统正因为闭源所以所谓魔改版也不容易藏东西，都是靠官方工具做些调整而已，能做的基本就是改改 ...

“风险不比安装第三方未签名软件高”你是觉得这个行为可以作为低风险行为的例子吗？还有什么比高权限运行未信任二进制更危险的事情？
杀软是必须的但不是万能的，如果杀软能解决一切病毒问题，那么WD预装了这么多年Windows早就是一片净土了，但现实呢？安卓的安全性也不是依赖封闭市场，又不是苹果，而是主要依赖于权限管理，不自己解bl、root，想给高权限都给不了，pdd那种正经的0day提权攻击是个例。

noahhhh

fcbjay 发表于 2023-9-15 11:07
开源也不一定安全啊
那么多代码真的有人一行行看过去吗，有恶意代码也可能没被发现
然后就像楼上说的，刷机 ...

大点的项目都有多人审核的，而且都是一步步测试才到稳定版

wtdd

b作者认知低下，刷国产尤其非开源rom的认知更低下，明知是灰产中的灰产……

ywydsd

b作者可以吃到免费餐了吗

—— 来自 S1Fun

zmw_831110

其他品牌我不知道
已经死掉的酷派和360是有留热更新后门的
用户无需确认,就可以给你直接更新app

酷派是我发现安全中心的版本自己升级了.
360更额定,更新一个天气软件(桌面表现为出现一个圆球),从此以后机器开始卡得不行,给你定期报废

raimouse

Ichthy 发表于 2023-9-15 12:45
现在都有收费刷机包了最后刷机还是6.0了，我以为除了xda其他论坛都已经死了呢 ...

但是XDA不也跟死了差不多。
除了那几个热门点的机型，很多机型根本没人做rom
甚至也不适配TWRP了。
新出的做rom的还喜欢给你内置GAPP，不能像以前哪有自己选了

satan023

Ichthy 发表于 2023-9-15 13:58
刷机会死其实也就是说明安卓逐渐可用到好用了，不伤心。

没觉得。。国产垃圾os一堆广告

indtability

开源项目和开源项目也不能同日而语啊，正经的项目都是有正经的信誉背书的，GitHub上转一圈，有点成就的作者大都用照片作头像，简介里写着个人信息，网上一搜就能得到生平，传统一点的项目用邮件列表，使用的签名本身也要直接或间接受信，哪像国内这些，动漫头像，匿名群组，甚至自动构建没有一点能让人信任的要素。倒不是反对匿名，但越匿名越应该付出更多时间和精力来获得信任，国内一些开发者的小圈子能搞的有声有色是真的迷惑。

—— 来自 Xiaomi M2012K11AG, Android 13上的 S1Next-鹅版 v2.5.4

失落之翼

ryanz 发表于 2023-9-15 08:49
堪比为防止有人偷菜给园子里的菜打农药然后真有人偷掉卖给别人导致死亡了，经典法考题，就是不知道涉及计算 ...

别人的手机和数据是他园子里的菜？

失落之翼

Nanachi 发表于 2023-9-15 08:48
很久之前听说过有些线下店卖的二手机就是重新刷了修改版rom内置恶意软件的

—— 来自 HUAWEI LNA-AL00, An ...

据说还有用新机或者退货机刷了内置恶意和伪造软件的系统的还当新机卖的

191634

要刷机请用lineage os等正经项目的包，而且不要用unofficial

JetBrains

咲月露娜 发表于 2023-9-15 09:02
GSI相当于通刷包吧？没有专门做适配的话bug会不会很多。。。

PHH 的集大成是优化最好适配最好的，说是 GSI 实际上已经内嵌了很多 vendor specific overlay

JetBrains

raimouse 发表于 2023-9-15 13:52
但是XDA不也跟死了差不多。
除了那几个热门点的机型，很多机型根本没人做rom
甚至也不适配TWRP了。

vanilla

汝者

两个路人 发表于 2023-9-15 15:46
现在的年轻人大概是不知道远古时代，真有个神棍写了个叫CIH的玩意儿吧

https://baike.baidu.com/item/%E9% ...

cih后面了，最早是江民盗版格硬盘

—— 来自 OPPO PGEM10, Android 13上的 S1Next-鹅版 v2.5.4

noahhhh

raimouse 发表于 2023-9-15 13:52
但是XDA不也跟死了差不多。
除了那几个热门点的机型，很多机型根本没人做rom
甚至也不适配TWRP了。

刷机不需要twrp，Android更新分区导致这玩意用起来太麻烦了

noahhhh

191634 发表于 2023-9-15 16:47
要刷机请用lineage os等正经项目的包，而且不要用unofficial

unofficial和offical不能代表任何东西，像lineage os offical最多保证一定的维护周期，第三方rom主要还是看作者的水平

Midnight.Coup

noahhhh 发表于 2023-9-15 17:29
刷机不需要twrp，Android更新分区导致这玩意用起来太麻烦了

twrp 最大作用其实是全盘备份给手机做手动快照

JetBrains

Midnight.Coup 发表于 2023-9-15 18:02
twrp 最大作用其实是全盘备份给手机做手动快照

全盘备份在系统内也可以啊... 主要就是防止系统无法进入，而 A/B 槽位彻底解决了该问题(用户自己作除外)
传统刷机包在系统内也可以正常执行，早就有 FlashFire 及其复刻版本了

UCXCU

酸菜泡面 发表于 2023-9-15 15:58
现在国产机这些狗比系统不仅有扫盘监控，还有远程温控，就这都用得下去纯纯的家畜

MIUI 安全组件会 ...

图二小绿书版本问题这个其实是小绿书问题，他自己为了方便引流上架各大厂商市场搞了个纯社区版，但app包名却没有换，导致很容易就转换成社区版，至于被更新社区版，看酷安对应用市场功能的一些态度以及变化很难说是不是有意为之

—— 来自 S1Fun

UCXCU

看起来至少搞机圈除了格机模块事件还有其他事件，这两起事件都可以进去了吧


—— 来自 S1Fun

191634

UCXCU 发表于 2023-9-15 18:23
看起来至少搞机圈除了格机模块事件还有其他事件，这两起事件都可以进去了吧

这是很早之前的事，某酷安大神软件在后台刷微信公号号点击，刷了一千多万。早就被告了