有用户提到，澎湃 OS 的「安装未知应用」权限授予次数存在限制，和 SIM 卡相关。

关于此权限和小米：
- REQUEST_INSTALL_PACKAGES [1] 允许 App 触发应用安装弹窗，App 获取此权限前通常需要用户手动授予一次。
- 此权限并不影响用户手工安装 apk 文件；控制此功能的是「未知来源」 (Unknown sources) 开关，此开关在小米系手机 ROM 中也需要用户插入 SIM 卡才能打开。
- 需要请求此权限的 App 一般包括第三方应用市场及支持自更新功能的 App 等。

https://weibo.com/7871463520/5044565540869057

linksrc: https://www.tg-me.com/CE_Observe/33993

1. developer.android.com/~

#Xiaomi #Android

日本通过法律，禁止 Apple/Google 阻止日本用户在其平台安装第三方应用商店；预计 2025 年末前生效。

关于此法律的细节：
- 《关于促进特定智能手机软件竞争的法律》（《スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律》）于 4/24 于国会提出，并于前日 (6/12) 于参议院通过。
- 法律将要求「特定厂商」在无正当理由时 (1) 不得阻止第三方应用商店及计费系统的使用、(2) 允许用户修改默认应用设置、 (3) 不得在搜索结果中优待第一方软件，以及 (4) 不得阻止第三方软件使用第一方软件使用的系统特性等。
- 违反法律的企业将面临 20% 营业额的罚款。

- www.jftc.go.jp/~
- theverge.com/~

thread: /4426

linksrc: https://www.tg-me.com/idwlch/2628

#AppStore #JP

Niconico 受到骇客攻击无法正常提供服务，临时开放复古版站点。

站点上展示了一些 2007 年 niconico 初期的视频。

https://www.nicovideo.jp/watch_tmp/sm1097445

#Niconico

法国法院裁定要求 Google、Cloudflare 及 Cisco 对其指定的盗版体育串流网站进行 DNS 污染。

torrentfreak.com/~

#FR #DNS #Piracy

#PSA 请尽快更新 Windows：Wi-Fi 驱动漏洞，可被近场骇客利用于远程代码执行。

微软已发布补丁 KB5039211/12/13/14/25 等以修补此漏洞。

CVE: CVE-2024-30078
CVSS: 8.8 (Microsoft)

msrc.microsoft.com/~

linksrc: https://www.tg-me.com/DNSPODT/4684

#CVE #Windows

FTC 宣称将就提前订阅终止费用及终止订阅的冗长流程起诉 Adobe。

文章中，FTC 称 Adobe 的行为违反 Restore Online Shoppers' Confidence Act 之法案。

ftc.gov/~

#FTC #Adobe

在隐私方面受到争议的 ChatControl 法案由于未能获得多数支持而推迟在欧盟峰会表决。

法案反对者称此法案以保护儿童及扫描 CSAM 内容为名，实则破坏加密系统及危害用户隐私。

stackdiary.com/~

thread: /2913

#EU #Privacy #ChatControl

Assange 与美国达成认罪协议，被从英国监狱释放并已返回澳洲。

- nbcnews.com/~
- twitter.com/wikileaks/~

#US #Assange #WikiLeaks

#PSA: 请停止使用 polyfill.io ； polyfill.io 被发现注入恶意代码到浏览器，将用户跳转至其它网站。

有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。

theregister.com/~

thread: /4454

#PolyfillIO #Security

韩国 ISP KT 在用户设备上安装恶意软件，阻止其使用 BitTorrent 功能。

关于此事的细节：
* 韩国云服务商 Webhard 发现，其基于 BitTorrent 的文件共享服务对大量使用 KT 宽带服务的用户不可用，原因是用户设备受到恶意软件影响。
* 警察介入调查，发现恶意软件来自 KT 的数据中心，并检控包括 KT 员工及外包人员在内的共 13 人。
* KT 与 Webhard 的冲突由来已久：基于 BitTorrent 的文件共享服务为 Webhard 节省数百亿韩元的流量费，但 BitTorrent 对 KT 的网络带来了压力。
* 就两家公司的冲突而言，司法判决更偏向 KT：法院认为 Webhard 并未支付流量费，也未向用户解释其 P2P 网络的工作原理，因此 KT 有理由屏蔽其流量。
* 韩国 ISP 对网络流量费的要价一直相对高昂，这已经使得 Twitch 等服务退出韩国 [1]。

tomshardware.com/~
seealso: HackerNews:40805099

1. /4387

#KR #NetworkNeutrality

Chrome 宣布停止信任 2024/10/31 后在 CT 登记的由 Entrust CA 签发的证书。

- Entrust 是一家 CA，旗下证书品牌包括 Entrust 和 AffirmTrust 等。
- Google 决定停止信任 Entrust 的原因是，后者近期发生多起违反 CA/B BR 的事件，并且在多个方面未能使公众信服其作为 CA 的能力。 [1]

security.googleblog.com/~

linksrc: blog.gslin.org/~
1. groups.google.com/~

#PKI #Google

OpenDNS 宣布停止向法国用户提供服务。

support.opendns.com/~

linksrc: torrentfreak.com/~

thread: /4546

#FR #DNS #OpenDNS

#PSA ：请更新 OpenSSH；远程任意代码执行漏洞。

关于此 CVE：
- 这是 CVE-2006-5051 的 regression。
- 在开启 ASLR 的 i386 设备上，大约需要 6-8 小时获取 root shell；在开启 ASLR 的 amd64 设备上则可能需要约一周左右。
- 临时的修复是设置 LoginGraceTime 为 0，不过这会使 ssh 服务易于受到 DoS 攻击。

CVE: CVE-2024-6387

Affects: [8.5p1, 9.8p1)

https://www.qualys.com/regresshion-cve-2024-6387/

#CVE #RegreSSHion

绊爱发布视频，或将重新开始活动。

https://www.youtube.com/watch?v=QjD3DCIsc-o

#KizunaAI #VTuber

关于 polyfill.io 、 bootcdn.net 及 staticfile.org 等的后续消息：

- 受影响的 CDN 包括 bootcdn.net 、 bootcss.com 、 staticfile.net 、 staticfile.org 等 [1]。
- uBlock 的 "Badware risks" 过滤器已经阻断了到这些站点的访问；Namecheap 关停了 polyfill.io 和 polyfill.com 域名 [2]；Google 亦开始停止投放使用 polyfill.io 网站的广告 [1]。
- Cloudflare 提供了自动替换至自有 Polyfill 的服务，默认对免费计划的站点启用；付费计划的站点可以手工启用 [3]。
- 一位安全研究者发现，GitHub 上的 data.polyfill.com 库存储了 Cloudflare API 密钥，并用密钥访问 Cloudflare API 发现同一个账户控制着以上的这些域名 [2]。

1. sansec.io/~
2. bleepingcomputer.com/~
3. blog.cloudflare.com/~

thread: /4551

[感谢 夜坂雅 提供此消息。]

#PolyfillIO #Security

#PSA ：Mastodon 实例管理员请更新至 4.2.10；新漏洞或会使私有贴文泄露。

https://github.com/mastodon/mastodon/releases/tag/v4.2.10

CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)

#Mastodon

Twilio 在骇客放出数据后确认 Authy 用户手机号码遭到泄露。受影响用户数约 3300 万。

Authy 是 Twilio 的 2FA 软件，需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。

securityweek.com/~

#Twilio #Privacy

绿联私有云 NAS 向用户分发公用泛域名证书私钥。

目前此证书已被吊销 [2]。

1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp

#Ugreen #TLS

Figma 开放 AI 特性；Starter 及 Professional 计划用户默认允许自己作品用于训练。

Figma 还提到：
- 关于启用 AI 特性的功能，所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项，Starter/Professional 计划用户默认开启，Organization/Enterprise 计划用户默认关闭。

help.figma.com/~

#Figma #AI

有 Twitter 用户发现 Chrome 内置隐藏插件 [1] 允许 Google 站点访问用户设备资源占用数据。

- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关，后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。

twitter.com/lcasdev/~
seealso: HackerNews:40918052

1. source.chromium.org/~

#Chrome #Privacy