谷歌云安全团队近日表示，恶意行为者在躲过Google Play商店的审查流程和安全控制后，会使用一种被称为版本控制的常见策略，在Android设备上植入恶意软件。 该技术通过向已安装的应用程序提供更新来引入恶意有效负载，或者通过所谓的动态代码加载(DCL)从威胁参与者控制的服务器加载恶意代码。 它允许攻击者绕过应用商店的静态分析检查，在Android设备上以原生、Dalvik或JavaScript代码的形式部署有效负载。 谷歌在今年的威胁趋势报告中提到：恶意行为者试图规避 Google Play 安全控制的一种方式是版本控制。 比如，开发者会在Google Play应用商店发布一个看似合法并通过谷歌检查的应用程序初始版本，但随后用户会收到来自第三方服务器的更新提示，这时候终端用户设备上的代码会被改变，这样威胁者就可以实施恶意活动，从而实现版本控制。 谷歌表示，所有提交到 Play Store 的应用程序和补丁都要经过严格的 PHA（潜在有害应用程序）筛选，但 “其中一些控制 “被 DCL 绕过。 Play Store通过版本控制绕过安全控制（图源：Google） 谷歌方面表示：此类活动的应用程序违反了Google Play欺骗行为政策，可能被贴上后门标签。 根据该公司的 Play Policy Center 指导方针，通过 Google Play 发布的应用程序禁止通过 Google Play 提供的官方更新机制以外的任何方式进行更改、替换或更新。 此外，应用程序严禁从外部资源下载可执行代码（如 dex、JAR 或 .so 文件0）到官方 Android 应用商店。 谷歌还强调了一种名为 SharkBot的恶意软件变种，该软件最早由 Cleafy 的威胁情报团队于 2021 年 10 月首次发现。SharkBot 是一种银行恶意软件，在入侵安卓设备后会通过自动转账服务（ATS）协议进行未经授权的转账。 为了躲避 Play Store 系统的检测，SharkBot 的威胁制造者采用了一种现在常见的策略，即在 Google Play 上发布功能有限的版本，掩盖其应用程序的可疑性质。 然而，一旦用户下载了木马应用程序，就会下载完整版的恶意软件。 Sharkbot 伪装成安卓杀毒软件和各种系统实用程序，通过 Google Play 商店的恶意行为提交检查，成功感染了成千上万的用户。 网络安全记者Brian Krebs强调了 ThreatFabric 安全研究人员最近公布的一种不同的移动恶意软件混淆技术。这种方法能有效破解谷歌的应用程序分析工具，使其无法扫描恶意 APK（安卓应用程序包）。因此，尽管这些有害的 APK 被标记为无效，仍能成功安装到用户的设备上。     转自Freebuf，原文链接:https://www.freebuf.com/news/374061.html 封面来源于网络，如有侵权请联系删除

近日，CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU，该漏洞已被列入到其积极处理的漏洞列表中，并在本月的安卓安全更新中得到解决。  该漏洞（被追踪为CVE-2021-29256）是一种在释放后使用的漏洞，通过允许对GPU内存的不正当操作，让攻击者升级到root权限或者访问目标安卓设备上的敏感信息。Arm在公告中写道：“非特权用户可以对GPU内存进行不当操作，以访问已释放的内存，并可能获得root权限或披露信息。”此问题在Bifrost和Valhall GPU内核驱动程序r30p0以及Midgard内核驱动程序r31p0版本中得到修复。如果用户受到此问题的影响，建议他们尽快升级。 随着本月安卓操作系统的安全更新，谷歌又修补了两个在攻击中被利用的安全缺陷。 CVE-2023-26083是Arm Mali GPU驱动程序中的一个中等程度的内存泄漏缺陷，该漏洞于2022年12月被利用，是向三星设备提供间谍软件的漏洞链的一部分。 第三个漏洞被追踪为CVE-2023-2136，被评为严重级别，是在谷歌的开源多平台2D图形库Skia中发现的整数溢出漏洞。值得注意的是，Skia与谷歌Chrome浏览器一起使用，而该浏览器在4月份被称为零日漏洞。 联邦机构被要求在未来3周内保护安卓设备  据悉，美国联邦民事行政部门机构（FCEB）已被要求在7月28日之前保护他们的设备免受CVE-2021-29256漏洞的攻击，该漏洞今天被列入到CISA积极处理的漏洞列表中。 根据2021年11月发布的具有约束力的操作指令（BOD 22-01），联邦机构必须彻底评估和解决CISA KEV目录中列出的所有安全缺陷。尽管该目录主要关注美国联邦机构，但也强烈建议私营公司优先考虑并修补目录中列出的所有漏洞。CISA也警告称：“这些类型的漏洞是网络中恶意行为者的常见攻击载体，会对联邦企业构成重大风险。” 一周前，网络安全机构警告说，TrueBot恶意软件操作背后的攻击者利用了Netwrix Auditor软件中的一个关键的远程代码执行（RCE）漏洞，对目标网络进行初始访问。CISA也表示，分布式拒绝服务（DDoS）针对性地攻击美国多个行业部门的组织。     转自E安全，原文链接:https://mp.weixin.qq.com/s/2P3qkhXmBOlB1foOT-ZlvQ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，欧洲刑警组织近期宣布拆除了 EncroChat 加密移动通信平台。至此，该事件导致 6600 多人被捕，引出 9.79 亿美元非法资金。 EncroChat 运行的是一种特殊的、经过强化的Android版本，承诺向用户提供牢不可破的匿名和无可追踪性加密通信服务。此外，EncroChat 还宣称提供信息自毁功能，恐慌性设备擦除，防篡改启动，以及一个防暴力的 FIPS140-2 认证硬件加密引擎。 EncroChat 的功能很快就被网络犯罪分子盯上了，数万人支付了 1500 欧元（1635 美元）购买了为期六个月的订阅，获得全球覆盖和全天候支持。 秘密监控通信 2020 年，欧洲各国成立的联合执法队伍悄悄渗透到 EncroChat 平台，成功破解加密算法后，分析出其用户之间共享的数百万条消息。此后，法国和荷兰的警察部队与其它国家的同行合作，逮捕了 6558 名EncroChat 用户，其中包括 197 名“高价值目标”。 从后续披露的信息来看，此次行动如此轻松便能成功的原因要归功于警方对该平台约 6 万名用户之间 1.15 亿次对话的分析， 利用这些数据，警方成功找到并缴获了 270 吨毒品、971 辆汽车、271 处财产、923 件武器、68 件爆炸物、40 架飞机和 83 艘船只，执法人员冻结了  7.4 亿欧元（8.07亿美元）的现金，以及其它 1.54 亿欧元（1.68 亿美元）。 自 2020 年 EncroChat 被捣毁以来查获的资产（欧洲刑警组织） 欧洲刑警组织表示大多数 EncroChat 用户要么是有组织犯罪的成员（34.8%），要么从事贩毒（33.3%），其余的人主要从事洗钱（14%），谋杀（11.5%），和枪支贩运（6.4%）等犯罪活动。 EncroChat 用户的类型（欧洲刑警组织） 值得一提的是，虽然被捕的 EncroChat 还没有全部都被判刑，但用户判处刑期总额已经达到了 7134 年监禁。 EncroChat 被捣毁后，其许多用户迁移到一个名为“Sky ECC”的替代服务（该服务是以合法实体的形式运作）。欧洲刑警组织和来自欧洲各网络警察单位调查人员已经成功破解 Sky ECC 的加密，监控大约 7 万名用户之间的通信。 2021 年 3 月 9 日，比利时和荷兰的警察同时对“高价值目标”的住宅进行了突击检查，逮捕许多人并扣押大量资产。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370515.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，自 2023 年 3 月以来，一个新手机恶意软件向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送 Android 银行木马 “Anatsa”。 ThreatFabric 安全研究人员一直在跟踪这项恶意软件活动，他们表示攻击者正在通过安卓官方应用商店Play Store 分发恶意软件，仅通过这种方法就已经安装了 30000 多个。 2021 年 11 月，ThreatFabric 在 Google Play 上发现了Anatsa 的“历史”活动记录，当时该木马通过模仿PDF 扫描仪、二维码扫描仪、Adobe Illustrator 应用程序和健身追踪器应用程序，成功分发安装了 30 多万次。 新的 Anatsa 银行木马运动 2023 年 3 月，在此前恶意软件传播中断六个月后，威胁攻击者发起一个新的恶意软件“营销”活动，试图引导潜在受害目标从 Google Play 下载 Anatsa 滴管应用程序。 Google Play 上的恶意应用程序（ThreatFabric） 这时候的恶意应用程序属于办公/生产力类型，通过冒充 PDF 查看器、编辑器应用程序以及办公套件。值得一提的是，每当 ThreatFabric 向谷歌报告恶意应用程序并将其从商店删除时，网络攻击者就会以一个新伪装上传新的滴管应用程序，迅速回归。 目前，所有已确认的五个恶意软件滴管案例中，这些应用都是以“干净安全”的形式提交到 Google Play，后续，攻击者再用恶意代码进行更新。之所以采用这种模式，很可能是攻击者为了逃避 Google 第一次提交时严格的代码审查程序。 恶意应用程序提交时间表（ThreatFabric） 一旦有受害者目标下载恶意程序，滴管应用程序就会请求托管在 GitHub 上的外部资源，从那里下载伪装成 Adobe Illustrator 文本识别器插件的 Anatsa 有效载荷。 从 GitHub 检索到的有效载荷（ThreatFabric） 当受害者试图启动“合法”的银行应用程序时，Anatsa 则趁机通过在前台覆盖钓鱼页面以及通过键盘记录来收集银行账户凭据、信用卡详细信息、支付信息等财务信息。目前版本中，Anatsa 特洛伊木马支持针对世界各地近 600 个银行机构的金融应用程序。 Anatsa 攻击的一些美国银行（ThreatFabric） Anatsa 通过启动银行应用程序并冒充受害者进行交易，利用窃取的信息进行欺诈，为其运营商自动化洗钱过程。ThreatFabric 进一步指出由于交易是从目标银行客户经常使用的同一设备发起，银行反欺诈系统很难检测到。 此后，被盗金额会被转换为加密货币，并通过受害者所在国的洗钱网络转出（洗钱网络将保留被盗资金一部分作为费用，其余部分将发送给攻击者）。 到保护 Android 系统的时刻了 随着 Anatsa 等恶意软件将目标逐渐扩展到许多国家，用户必须对其安卓设备上安装的应用程序格外警惕，应该避免安装来自可疑发行商的应用程序，即使这些应用程序在谷歌 Play 等经过严格审查的商店中。 此外，还要检查应用程序的评论，判断其是否存在恶意行为，尽量安装网站上知名且经常引用的应用程序，避免安装评论很少的应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370411.html 封面来源于网络，如有侵权请联系删除

知名安全厂商Bitdefender 发布的一份报告称，他们在过去6个月中发现了 6万款不同类型的 Android 应用秘密地嵌入了广告软件安全程序。 报告指出，经分析，该活动旨在将广告软件传播到用户的Android系统设备，以此来增加收入。然而，网络攻击者可以轻松地改变策略，将用户重定向到其他类型的恶意软件，如针对银行账户的窃取程序。 据统计，该广告软件主要针对美国用户（55.27%），其次是韩国（9.8%）、巴西（5.96%）和德国（2.93%）。大量独特样本表明，有人设计了一个自动化过程来创建带有恶意软件的应用程序，通过仿冒游戏破解程序、免费 VPN、Netflix 虚假教程、无广告版YouTube/TikTok以及虚假的安全程序来分发。 广告软件活动的国家分布 偷偷安装以逃避检测 这些应用程序托管在第三方网站上，研究人员没有在 Google Play 的应用程序中发现相同的广告软件。访问这些网站时，用户将被重定向到这些应用的下载站点，当用户安装这些应用程序后，并不会将自身配置为自动运行，因为这需要额外的权限。相反，它依赖于正常的 Android 应用程序安装流程，该流程会提示用户在安装后“打开”应用程序。 此外，这些应用程序不会显示图标，并在应用程序标签中使用 UTF-8 字符，因此更难被发现。这是一把双刃剑，因为这也意味着如果用户在安装后不启动该应用程序，则该应用程序很可能不会在安装后启动。 如果启动，该应用程序将显示一条错误消息，指出“应用程序在您所在的地区不可用。点击确定卸载。”但实际上，应用程序并没有被卸载，而只是在注册两个意图（Intent）之前进行了休眠，这两个意图可让应用程序在设备启动或设备解锁时开始运作。Bitdefender 表示后一种意图在前两天被禁用，可能是为了逃避用户的检测。 注册启动广告程序的 Android 意图 启动后，该应用程序将连接到运营方的服务器并检索要在移动浏览器中显示或作为全屏 WebView 广告显示的广告链接。 Android 设备是恶意软件开发人员的高度攻击目标，因为用户能够在不受 Google Play 商店保护之外的其他地方安装应用程序。但目前，即便在Google Play 中也未必安全。近期，来自 Dr. Web 和 CloudSEK 的研究人员发现，恶意间谍软件 SDK  通过 Google Play 上的应用程序在 Android 设备上竟安装了超过 4 亿次。 虽然 Google Play 仍然有恶意应用程序，但从官方商店安装 Android 应用程序总体还是要安全得多，强烈建议用户不要从第三方站点安装任何 Android 应用程序，因为它们是恶意软件的常见载体。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368848.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现了一种新的 Android 木马，它可能危害到 4.21 亿台设备。 Doctor Web团队在上周发布的公告中，公布了有关木马的信息，该木马被称为 Android.Spy.SpinOk 。 SpinOk 具有多种间谍软件功能，包括文件收集和剪贴板内容捕获。该木马可以嵌入其他应用程序中，这就是它传播以感染数百万设备的方式。 SpinOk 模块似乎可以为用户提供吸引人的功能，例如迷你游戏、任务和奖品机会。但是，在激活后，此特洛伊木马 SDK 会建立与命令和控制 (C2) 服务器的连接，传输有关受感染设备的大量技术数据。 Dr.Web点名被恶意植入木马病毒的App多达101个，累积下载量超过4.2亿次，其中甚至不乏被用户大量下载的热门App，如影片剪辑 工具”Noizz”、文档传输工具”Zapya”，这些APP的下载量都超过1亿次。 以下为Dr.Web列出10款最热门的受影响App： 影片剪辑工具Noizz（下载量1亿次以上） 文档传输工具 Zapya（下载量1亿次以上） 影片剪辑工具 VFly（下载量5千万次以上） MV剪辑工具 MVBit（下载量5千万次以上）  影片制作 Biugo（下载量5千万次以上） 手机小游戏 Crazy Drop（下载量1千万次以上） 每日金钱奖励 Cashzine （下载量1千万次以上） 脱机阅读工具 Fizzo Novel（下载量1千万次以上） 每日奖励 CashEM（下载量5百万次以上） 观看影片获取奖励 Tick（下载量5百万次以上） Viakoo首席执行官巴德·布鲁姆黑德 (Bud Broomhead)表示：“威胁行为者已深入挖掘 Android 游戏的利基市场，这些游戏专注于为玩家赚钱。” 他还表示，“他们很可能出于某种原因专注于该利基市场，例如观察这些资金转移到银行账户或玩家将拥有可以进一步利用的特定文件的可能性。” 这些数据包括来自各种传感器（陀螺仪、磁力计等）的信息，使模块能够识别仿真器环境并调整其操作以避免被安全研究人员检测到。 此外，恶意软件可以忽略设备代理设置，从而在分析过程中隐藏网络连接。作为回报，它会从服务器接收 URL 列表，并将其加载到 WebView 中以展示广告横幅。 Doctor Web 专家在 Google Play 上的几个应用程序中检测到木马模块及其各种迭代的存在。虽然有些仍然包含恶意软件开发工具包 (SDK)，但其他一些仅包含特定版本或已从平台中完全删除。 Zimperium 产品战略副总裁 Krishna Vishnubhotla 解释说：“对于移动应用程序开发人员来说，SDK 大多是黑盒子。所有这些都集成在一起以完成特定的已知任务，无论是免费的还是付费的。但没有人检查 SDK 还能做什么，尤其是当它在最终用户设备上的应用程序中运行时。” Krishna Vishnubhotla 说道：“恶意行为者也不会让这变得简单，因为大多数可疑活动代码只有在设备上满足特定条件时才会下载，以避免被发现。” Doctor Web 表示，其分析显示该木马存在于 101 个应用程序中，总下载量为 421,290,300 次。该公司证实他们已将这一威胁通知了谷歌。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/2Rfv6iFrnQfZQ6L8fs2SJA 封面来源于网络，如有侵权请联系删除  

虽然有所进步，但总的来说，Android设备在安全方面依然毁誉参半。虽然操作系统本身和Google的Pixel多年来一直能够顽强抵御软件漏洞，但Google Play中永无止境的恶意应用程序和一些第三方制造商的脆弱设备已经损害了其形象。 周四，在两份报告称多个系列的Android设备预装了恶意软件，如果用户不采取特殊措施就无法删除这些恶意软件之后，这一形象进一步受到损害。 第一个报告来自安全公司趋势科技。研究人员根据在新加坡举行的黑帽安全会议上发表的演讲，报告说多达50个不同品牌的890万部手机被感染了恶意软件。安全公司Sophos的研究人员首先记录了Guerrilla，他们将这种恶意软件命名为Guerrilla，并在Google允许进入其Play市场的15个恶意应用程序中发现。 Guerrilla打开了一个后门，使受感染的设备定期与一个远程命令和控制服务器通信，以检查是否有任何新的恶意更新供他们安装。这些恶意更新收集了用户的数据，威胁者（趋势科技称之为Lemon Group）可以将这些数据出售给广告商。然后，Guerrilla偷偷地安装侵略性的广告平台，这些平台会耗尽电池储备并降低用户体验。 趋势科技研究人员写道： 虽然我们发现Lemon集团为大数据、营销和广告公司做了很多业务，但主要业务涉及大数据的利用： 分析海量的数据和厂商出货量的相应特征，不同用户在不同时间获得的不同广告内容，以及带有详细软件推送的硬件数据。这使得莱蒙集团能够监测到可以进一步感染其他应用程序的客户，从而在此基础上进一步发展，例如只专注于向某些地区的应用程序用户展示广告。 被感染的手机最集中的国家是美国，其次是墨西哥、印度尼西亚、泰国和俄罗斯。 Guerrilla是一个庞大的平台，有近十种插件，可以劫持用户的WhatsApp会话，发送不需要的信息，从受感染的手机建立反向代理，使用受影响移动设备的网络资源，并将广告注入合法应用程序。 不幸的是，趋势科技没有确定受影响的品牌，公司代表也没有回复询问的电子邮件。 第二份报告是由TechCrunch发布的。它详细介绍了通过亚马逊销售的几款基于Android的电视盒子，这些电视盒都带有恶意软件。典型的产品是T95 Allwinner H616，它被观察到由一个控制服务器管理，该服务器就像Guerrilla的服务器一样，可以安装恶意软件制造者想要的任何应用程序。预装在盒子上的默认恶意软件被称为”点击机器人”。它通过偷偷摸摸地在后台点击广告来获得广告收入。 TechCrunch引用了丹尼尔-米利西奇（Daniel Milisic）的报告，他是一名研究人员，碰巧买了一个受感染的电视盒子。米利西奇的发现被电子前沿基金会的研究员比尔-布丁顿独立证实。 出厂时就带有恶意软件的Android设备并不新鲜，其中大多数受影响的机型都属于入门级别。 在市场上购买Android手机的人应该转向知名品牌，这些品牌通常对其库存有更可靠的质量保证控制。到目前为止，还没有关于高端Android设备预装恶意软件的报告。同样，也没有关于iPhone的此类报告。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7235836187238220344/ 封面来源于网络，如有侵权请联系删除

谷歌宣布了一项新的漏洞赏金计划，名为Mobile VRP（漏洞奖励计划），该计划涵盖其移动应用程序，用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用（谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面）才在新赏金计划的范围内。 谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞： 导致任意文件写入的路径遍历/压缩路径遍历漏洞 导致启动非出口应用组件的意图重定向 因不安全使用待定意图而导致的漏洞 孤立权限 下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励： 白帽可以赚取高达30000美元，因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用，以实现任意代码执行。 谷歌在公告中指出，当调查一个漏洞时，请只针对你自己的账户，千万不要试图访问其他人的数据，也不要参与任何会对谷歌造成破坏或损害的活动。 有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367384.html 封面来源于网络，如有侵权请联系删除

Google正在继续其在Play Store的数据安全工作，要求开发者为用户提供删除其账户数据的方法。目前，Play Store的数据安全部分只是让开发者声明：”你可以要求删除数据”。今后，允许创建账户的应用程序（在应用程序内），”也必须允许用户要求删除其账户”。 这种删除选项必须在应用程序内部和外部（如网络）”易于发现”。后面的要求意味着”用户可以要求删除账户和数据，而不必重新安装一个应用程序”。 开发者将不得不向Google提供这些链接，由Play Store直接在应用列表中呈现该URL。   规则原文如下： Google规定，Play开发者必须”删除与该应用账户相关的用户数据”。 暂时停用账户、禁用或”冻结”应用账户并不符合删除账户的条件。如果出于安全、防止欺诈或遵守法规等合法原因需要保留某些数据，开发者必须明确告知用户的数据保留做法（例如在隐私政策内）。 影响到全球所有的应用程序，考虑到开发人员必须投入的工作，Google正在慢慢推出这一政策要求： 作为第一步，我们要求开发者在12月7日前在你的应用程序的数据安全表格中提交对新的数据删除问题的答案。明年年初，Google Play用户将开始在应用商店列表中看到反映的变化，包括数据安全部分刷新的数据删除徽章和新的数据删除区域。 政策中还包括让开发者申请延期（通过Play Console），直到2024年5月31日。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218663387306131972/ 封面来源于网络，如有侵权请联系删除

来自Cleafy的网络安全公司专家警告说，一个新兴的安卓银行木马 Nexus，针对多达450个金融应用，被多个网络犯罪团在的攻击中使用。 3月初，威胁情报公司Cyble的研究人员首次分析了Nexus勒索软件。Nexus可通过恶意软件即服务（MaaS）订购，以每月3000美元的价格出租，自2023年1月起在地下论坛或通过私人渠道（如Telegram）进行推广。 然而，根据Cleafy的威胁情报与响应团队报告，早在2022年6月就检测到了第一批Nexus感染，比MaaS的公开广告早了几个月。专家认为，尽管有多个活动在野外积极使用Nexus木马，但Nexus木马仍处于发展的早期阶段。 在Cleafy发布的分析报告中写道：Nexus提供对银行门户网站和加密货币服务进行ATO攻击（账户接管）的所有主要功能，如凭证窃取和短信拦截。它还提供了一个针对450个金融应用程序的内置注入列表。 据观察，Nexus完全是从零开始编写的，但研究人员发现Nexus和SOVA银行木马之间有相似之处，后者于2021年8月出现在威胁领域。Nexus木马可以针对多个银行和加密货币，企图控制客户的账户。它依靠叠加攻击和键盘记录功能来获取客户的凭证。 该恶意软件还支持通过滥用安卓的可访问性服务，使用短信或谷歌认证器应用程序绕过双因素认证（2FA）的功能。同时，该安卓木马还支持自动更新机制。 那么它对安卓用户是否构成威胁？安全专家表示，根据从多个C2面板检索到的感染率，Nexus绝对是一个真正的威胁，它能够感染世界各地的数百台设备。因此我们不得不做好准备，防患于未然。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361433.html 封面来源于网络，如有侵权请联系删除