Skip to main content

OKHK 👀

OKHK 👀
OKHK 👀
个人数字泔水\(⁠◔⁠‿⁠◔⁠)
Thinking...

  1. 🐱MiaoTony's Box | 困困困 zzz
    #security #CVE #Android 危险!Android 无线调试认证被绕过:0 点击获取 ADB Shell Android ADB 曝出认证绕过高危漏洞(CVE-2026-0073,CVSS 3.1:8.8),攻击者通过构造特定算法的 TLS 证书,可绕过主机 RSA 密钥配对校验,直接获取目标设备的 Shell 权限。 漏洞触发前置条件: - 设备开启 Developer options 和 Wireless debugging 或暴露 ADB TCP 服务。 - 设备/data/m…
    经典 0 - false, 1 - true
    Telegraph
    危险!Android 无线调试认证被绕过:0 点击获取 ADB Shell
    Android ADB 曝出认证绕过高危漏洞(CVE-2026-0073,CVSS 3.1:8.8),攻击者通过构造特定算法的 TLS 证书,可绕过主机 RSA 密钥配对校验,直接获取目标设备的 Shell 权限。

  2. #security #CVE #Android
    危险!Android 无线调试认证被绕过:0 点击获取 ADB Shell
    Android ADB 曝出认证绕过高危漏洞(CVE-2026-0073,CVSS 3.1:8.8),攻击者通过构造特定算法的 TLS 证书,可绕过主机 RSA 密钥配对校验,直接获取目标设备的 Shell 权限。
    漏洞触发前置条件:
    - 设备开启 Developer options 和 Wireless debugging 或暴露 ADB TCP 服务。
    - 设备/data/misc/adb/adb_keys文件包含至少一个先前配对的 RSA ADB 主机密钥。
    - 攻击者能够访问该 ADB TCP 端口,例如处于同一局域网。

    漏洞描述:
    CVE-2026-0073 是 Android adbd 无线调试 / ADB-over-TCP 认证绕过漏洞。漏洞根因在 packages/modules/adb/daemon/auth.cpp 的 adbd_tls_verify_cert():adbd 会将 TLS 客户端证书公钥与 /data/misc/adb/adb_keys 中保存的 RSA 主机公钥进行比较,但代码使用 if (EVP_PKEY_cmp(...)) 判断认证结果。

    EVP_PKEY_cmp() 返回 1 才表示匹配,返回 0 表示不匹配,返回 -1 表示密钥类型不同;由于 -1 在 C/C++ 中也为 true,攻击者提交 EC/Ed25519 等非 RSA 证书时,RSA vs 非 RSA 的比较失败会被误判为认证成功,从而绕过 ADB 主机认证并获得 Shell 用户权限。
    https://mp.weixin.qq.com/s/Axi6XZlFmiihXcARsPDwUw
    https://barghest.asia/blog/cve-2026-0073-adb-tls-auth-bypass/

  3. Chrome 正静默下载 Gemini Nano 模型到用户设备上。

    - 模型约 4G,用于端测 AI 推理等。如果文件失效,Chrome 更新时会重新下载。
    - 不希望下载此模型的用户需要通过 chrome://flags [1] 或 Enterprise Policy [2] 关闭此功能。

    https://thatprivacyguy.com/blog/chrome-silent-nano-install/
    seealso: HackerNews:48019219

    1. winaero.com/~
    2. pureinfotech.com/~

    > 同一位博主在之前的文章中还提到 Claude Desktop 会静默为 Chromium 浏览器安装 native messaging host,或是用于访问浏览器数据等。对此有担忧的订户可以检查浏览器 profile 目录下的 NativeMessagingHosts 目录。

    thread: /4847

    #Chrome #Gemini
    That Privacy Guy!
    Google Chrome silently installs a 4 GB AI model on your device without consent. At a billion-device scale the climate costs are…
    Google Chrome silently installs a 4 GB AI model on your device without consent. At a billion-device scale the climate costs are…
    Google Chrome is downloading a 4 GB Gemini Nano model onto users' machines without consent, with no opt-in, no opt-out short of enterprise tooling, and an automatic re-download every time the user deletes it. The pattern is identical to the Anthropic Claude…

  4. 一觉醒来发生了什么 05 月 06
    #Daily

    2026 年 5 月 6 日
    🌍 资讯快读
    1、湖南烟花爆竹企业全面停产整顿
    https://www.jiemian.com/article/14384337.html
    2、中国移动将推出 AI-eSIM 产品
    https://www.jiemian.com/article/14383414.html
    3、抖音集团副总裁:网传所谓红果短剧收费的消息不实
    https://www.jiemian.com/lists/1324kb.html
    4、俄罗斯国防部宣布 5 月 8 日至 9 日停火
    https://www.jiemian.com/article/14383097.html

    👬 即刻镇小报
    1、写于五四青年节:我的人生不如从前精彩
    https://m.okjike.com/originalPosts/69f870c87f82528246b470ea
    2、20 岁到 50 岁,我改变了很多看法
    https://m.okjike.com/originalPosts/69f8687ec2dc8bf83f185538
    3、光之道绝了
    https://m.okjike.com/originalPosts/69f8495877413a090dce11b3
    4、住了 500 晚酒店才知道,为什么一定要订双床房
    https://m.okjike.com/originalPosts/69f771df657481ea4e877cc9

    今日即刻镇小报内容来自 @王梦珂 Mengke @小马宋 @飞行器地执行周期 @风小海 ,感谢以上即友的创作与分享。
    界面新闻
    湖南烟花爆竹企业全面停产整顿
    湖南省应急管理厅5月5日消息,即日起,全省烟花爆竹企业全面停产整顿,全力防范和消除各类安全隐患。

  6. OKHK 👀
    微软 #Microsoft Edge 浏览器在内存中明文存储所有密码,即使并未使用 https://fxtwitter.com/L1v1ng0ffTh3L4N/status/2051308329880719730
    MS Edge 浏览器被发现启动时会在内存中明文加载其保存的所有密码。相比下 Chrome 只在需要时解密凭证,没有将所有密码保存在内存中。Edge 和 Chrome 都是基于开源的 Chromium。微软的做法让从内存中抓取重要数据变得更容易,也增加了共享环境下密码泄露的风险。安全研究人员将这一问题报告给了微软,收到的回应是该行为就是这么设计的。研究人员在 GitHub 上发布了概念演示工具 EdgeSavedPasswordsDumper。

    https://lemmy.zip/post/63729962?scrollToComments=true
    https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper/tree/main/EdgeSavedPasswordsDumper
    Telegram
    Solidot 纯净版
    MS Edge 被发现会在内存中明文加载所有密码
    #安全

    MS Edge 浏览器被发现启动时会在内存中明文加载其保存的所有密码。相比下 Chrome 只在需要时解密凭证,没有将所有密码保存在内存中。Edge 和 Chrome 都是基于开源的 Chromium。微软的做法让从内存中抓取重要数据变得更容易,也增加了共享环境下密码泄露的风险。安全研究人员将这一问题报告给了微软,收到的回应是该行为就是这么设计的。研究人员在 GitHub 上发布了概念演示工具 EdgeSavedPasswordsDumper。…

  7. OKHK 👀
    Easyimg - 适用于个人的一站式图床服务. 支持开启公共上传,支持部署 AI 鉴黄智能检测,完善的权限控制、数据统计、实时推送等功能 https://github.com/chaos-zhu/easyimg #Image #Tool #GitHub
    开源自托管图床
    https://github.com/atbeta/picfast
    #Image #Tool #GitHub
    https://www.v2ex.com/t/1210315
    V2EX
    消失的五一假期之——找不到好用的自托管图床,于是自己写了一个(开源 / Docker 一键部署) - V2EX
    程序员 - @atbeta - 之前一直用的兰空图床,嫌弃的主要是界面老旧,技术栈也旧,想改点东西很费劲。找了一圈,Chevereto 收费,Picsur 还不错但停止维护了,没一个合适的。五一刚好有空,干脆自己写一个。本来

  8. 竹新社
    浏阳烟花车间爆炸事故已致26死61伤。浏阳全市烟花爆竹生产企业已全面停产整顿。 长沙市消防救援支队党委书记丁为鸣在5日的记者会上介绍,事故处置面临控制难、灭火难、搜救难。现场残留大量成品、半成品,反复引燃,持续形成零星爆炸,同时库区存放的大量火药难以转运。现场厂区墙体、梁柱、屋顶坍塌,形成大量废墟,人员被埋、通道堵塞,救援条件受限。 (新华社 1,2)
    这个浏阳市长也是倒霉,望城自建房倒塌事故死 54 人时,他在望城当领导;现在浏阳出事故,他又在浏阳当领导。建议辞官回家种田吧。

    3.27 上任
    https://www.fxzhihu.com/question/2034715859067692607/answer/2034945628661339959
    FxZhihu / Fixup Zhihu
    官方通报浏阳一烟花厂发生爆炸致 26 死 61 伤,具体什么情况? - @合津 | FxZhihu
    这个浏阳市长也是倒霉,望城自建房倒塌事故死54人时,他在望城当领导;现在浏阳出事故,他又在浏阳当领导。建议辞官回家种田吧。

  9. 浏阳烟花车间爆炸事故已致26死61伤。浏阳全市烟花爆竹生产企业已全面停产整顿。
    长沙市消防救援支队党委书记丁为鸣在5日的记者会上介绍,事故处置面临控制难、灭火难、搜救难。现场残留大量成品、半成品,反复引燃,持续形成零星爆炸,同时库区存放的大量火药难以转运。现场厂区墙体、梁柱、屋顶坍塌,形成大量废墟,人员被埋、通道堵塞,救援条件受限。
    (新华社 12

  12. OpenNutriTracker - 跟踪管理日常饮食营养摄入

    适合食物热量计算、调整均衡饮食、改善健康状况、减肥等场景,方便追踪和分析每日营养摄入。(似乎不太适合中餐饮食统计
    https://github.com/simonoppowa/OpenNutriTracker
    #Tool #Life #GitHub
    GitHub
    GitHub - simonoppowa/OpenNutriTracker: 🍴 OpenNutriTracker is a free and open source calorie tracker with a focus on simplicity…
    GitHub - simonoppowa/OpenNutriTracker: 🍴 OpenNutriTracker is a free and open source calorie tracker with a focus on simplicity…
    🍴 OpenNutriTracker is a free and open source calorie tracker with a focus on simplicity and privacy. - simonoppowa/OpenNutriTracker

  13. Easyimg - 适用于个人的一站式图床服务. 支持开启公共上传,支持部署 AI 鉴黄智能检测,完善的权限控制、数据统计、实时推送等功能

    https://github.com/chaos-zhu/easyimg

    #Image #Tool #GitHub
    GitHub
    GitHub - chaos-zhu/easyimg: 适用于个人的一站式图床服务. 支持开启公共上传,支持部署AI鉴黄智能检测,完善的权限控制、数据统计、实时推送等功能。👇
    GitHub - chaos-zhu/easyimg: 适用于个人的一站式图床服务. 支持开启公共上传,支持部署AI鉴黄智能检测,完善的权限控制、数据统计、实时推送等功能。👇
    适用于个人的一站式图床服务. 支持开启公共上传,支持部署AI鉴黄智能检测,完善的权限控制、数据统计、实时推送等功能。👇 - chaos-zhu/easyimg

  15. 一觉醒来发生了什么 05 月 05
    #Daily

    2026 年 5 月 5 日
    🌍 资讯快读
    1、湖南浏阳一烟花厂发生爆炸
    https://www.jiemian.com/article/14382739.html
    2、汉坦病毒是否人传人?张文宏回应
    https://www.jiemian.com/article/14382822.html
    3、亚马逊物流网络现已向所有企业开放
    https://www.jiemian.com/article/14382721.html
    4、瑞士宣布参加北约军演
    https://www.jiemian.com/article/14382689.html

    👬 即刻镇小报
    1、agents 产品开始进入一种很诡异的阶段
    https://m.okjike.com/originalPosts/69f565457f825282466c50b4
    2、现代化大公司创造出来的奴隶制形式令人非常惊奇
    https://m.okjike.com/originalPosts/69f562d9af7695b4cfbb8f04
    3、有段时间,互联网上一篇现象级长文被疯狂转载
    https://m.okjike.com/originalPosts/69f54850b22dddfa78b4ee88
    4、如果最近觉得日子过得憋屈,千万别手贱去翻『蛤蟆先生去看心理医生』。
    https://m.okjike.com/originalPosts/69f4377f0bd0192261cafa55

    今日即刻镇小报内容来自 @玉伯 @AGENT 橘 @王紫君 Zima @叔本华分华 ,感谢以上即友的创作与分享。
    界面新闻
    湖南浏阳一烟花厂发生爆炸
    据湖南浏阳市应急局通报,2026年5月4日16时43分左右,浏阳市官渡镇华盛烟花厂发生爆炸事故。目前人员伤亡情况正在核实中,事故原因调查和善后处置工作正有序开展。

  17. OKHK 👀
    《赢》:献给正在“折腾”的年轻人 2026 年五四青年节到来之际,B 站发布短片《赢》。 致敬每一代年轻人敢折腾的勇气,鼓励每个人都依然能保持不断折腾的热忱,希望每个人都能站在各自的赛场,赢下自己的比赛。 @哔哩哔哩弹幕网 发布日期:2026-05-04 02:00:00 上传日期:2026-04-29 03:19:04
    如何评价 B 站 26 年五四短片《赢》:献给正在“折腾”的年轻人?
    “他们赢了,那我呢?”
    Telegraph
    如何评价B站26年五四短片 《赢》:献给正在折腾的年轻人?
    看完《赢》,最大的感受是:这片子拍得很聪明,聪明得让人有点警觉。 它确实比《后浪》进步了。《后浪》那种居高临下的代言感让人浑身不舒服,“你们这代年轻人真幸福啊”,说话的人却是一群没怎么受过苦的中年人。《赢》收敛多了,讲的比较温柔、克制,没有说教腔,剪进去的素材也都是真实的普通年轻人——摆摊的、学技艺的、反复失败的。情绪上,它是真诚的。 但问题也正在这里。 “折腾”这个词,到底是在描述一种处境,还是在规训一种态度? 片子的逻辑是:你折腾过,你就赢了。输赢的定义权交还给你自己,这听起来很解放,但仔细想想,这…

  19. 每日消费电子观察
    豆包拟增加付费服务 最低档位月费68元 https://companies.caixin.com/2026-05-04/102440597.html 5月4日,苹果应用商店APP下载页面显示,字节跳动旗下AI助手豆包将在免费版基础上,推出包含更多增值业务的付费版本,以满足不同用户的差异化需求。 豆包订阅服务声明称,基础版本仍提供给用户免费试用,满足日常需求。收费版本中的最低档位“标准版”连续包月每月68元(连续包年688元),加强版连续包月每月200元(连续包年2048元),专业版连续包月每月500元(连续包年5088元)
    逗包自评 😁
    能力不如 DS
    生态不如 Gemini
    价格赶超 GPT
    敏感封号对标 Claude
OKHK