安卓定制包ElixirOS存在恶意代码 若用户尝试绕过付费则清除所有数据
颇为流行的第三方 Android ROM 项目 ElixirOS (Project Elixir) 日前被发现存在恶意代码,这些代码在被触发后会清除内部存储、外部存储甚至是 eSIM 卡的数据。
同时 ElixirOS 还提供付费选项,此次被发现的问题也正是付费选项引起的,即如果用户尝试通过 adb shell 绕过付费选项,那么就会触发恶意代码。
另外也有网友注意到 ElixirOS 存在不少私有源代码是无法公开访问的,即便是 ElixirOS 维护者也只能通过 Jenkins 构建,所以社区是看不到具体有哪些代码和提交的。
值得注意的是 ElixirOS 项目成员也在 Telegram 频道承认了这种行为,并且看起来他们对这种行为并不避讳,因此即便现在被曝光后估计也不会改。
官方已发公告跑路。
https://t.me/Elixir_Updates/3660
类似事件:
2011年5月24日,有人反馈称Bumblebee更新会导致“/usr”目录被删除。经查,install.sh中多加了个空格。
之后该错误在多个项目中多次出现。
2022年,Evolution X创始人、官方维护者Anierin Bliss在845的一加机型内核中加入了屏蔽微信的字段。原代码原理是检测到BannedApp列表中的程序运行就下发一个杀死(SIGKILL)命令。
然而很可惜的是,Anierin Bliss的这段令人不适的代码也是kang的,原作者为Justasic(另一个昵称为NightShadow,美国男同性恋者,兽人控。),原代码屏蔽了外版TikTok(国内抖音未被加入)。
颇为流行的第三方 Android ROM 项目 ElixirOS (Project Elixir) 日前被发现存在恶意代码,这些代码在被触发后会清除内部存储、外部存储甚至是 eSIM 卡的数据。
同时 ElixirOS 还提供付费选项,此次被发现的问题也正是付费选项引起的,即如果用户尝试通过 adb shell 绕过付费选项,那么就会触发恶意代码。
另外也有网友注意到 ElixirOS 存在不少私有源代码是无法公开访问的,即便是 ElixirOS 维护者也只能通过 Jenkins 构建,所以社区是看不到具体有哪些代码和提交的。
值得注意的是 ElixirOS 项目成员也在 Telegram 频道承认了这种行为,并且看起来他们对这种行为并不避讳,因此即便现在被曝光后估计也不会改。
官方已发公告跑路。
https://t.me/Elixir_Updates/3660
类似事件:
2011年5月24日,有人反馈称Bumblebee更新会导致“/usr”目录被删除。经查,install.sh中多加了个空格。
之后该错误在多个项目中多次出现。
2022年,Evolution X创始人、官方维护者Anierin Bliss在845的一加机型内核中加入了屏蔽微信的字段。原代码原理是检测到BannedApp列表中的程序运行就下发一个杀死(SIGKILL)命令。
然而很可惜的是,Anierin Bliss的这段令人不适的代码也是kang的,原作者为Justasic(另一个昵称为NightShadow,美国男同性恋者,兽人控。),原代码屏蔽了外版TikTok(国内抖音未被加入)。
