因几个试图装逼的程序员 一堆用户的手机被删个干净

差评 0

托尼最近听到消息说,一些刷入了 EdXposed 框架的手机突然数据被彻底清空了。

那啥。。。EdXposed 是一款在安卓玩机圈子里很有名的一款系统辅助框架,能够对手机进行一些深度魔改操作。

比方说一些基于 EdXposed 开发的小模块可以阻止微信消息撤回、自动抢红包、模拟钉钉签到等有的没的猎奇小功能。



所以 EdXposed 又被称作 “ 玩机党的瑞士军刀 ”。。。

但这回,军刀把机主给 “ 捅 ” 了。。。

想象一样,本来你正常用着手机,结果下一秒,屏幕一黑。

再次出现的,不再是你熟悉的手机界面,而是许久不曾见过的几个大字—— “ 欢迎使用你的新手机 ” !

想想你那些根本来不及备份的相册和聊天记录,活生生一出现代鬼故事。



但托尼在了解之后发现,这次锅还真的和 EdXposed 框架本身没什么关系。

事情的真相是,有三个小鬼闯到 GitHub 上,把 EdXposed 框架的代码给篡改了。



嘛。。。由于 EdXposed 能够直接获取到手机的核心权限,因此 EdXposed 的开发者把所有代码都放到了 同性交友 开源代码平台 GitHub 上。

一方面是为了代码公开透明让大家放心,另一方面也方便了一些大佬级别的用户对 EdXposed 的代码进行一些更改和优化。

但是就在前几天,有个捣蛋的用户,向 EdXposed 的代码仓库里提交了一行 “ rm -rf ” !



稍微对命令行有些了解的小伙伴应该都知道, “ rm ” 是 Linux 系统里用来删除文件的命令。

相当于我们在电脑里对着文件右键点了下删除。



而 rm -rf 就更过分了,它相当于在删除按钮后边开了八十台强力文件粉碎机!

文件夹、磁盘分区、甚至整个操作系统。。。只要你想,用 rm -rf 命令都能给删干净。

所以要是谁谁谁家公司的运维一不小心输错了 rm -rf ,把整个公司的服务器都清了个干净,估计就只能抓紧时间跑路了。

所以 rm -rf 又被称为 “ 跑路命令 ” 。



托尼不知道为什么这个用户会往 EdXposed 的代码里提交 rm -rf ,因为他之后很快又撤回了自己的更改,之后便没了下文。

估计 Ta 可能只是想在知名项目下面留下个属于自己的 “ 到此一游 ” 吧。

但是,Ta 的这番举动很快引来了其他人的效仿( 估计 Ta 自己也没想到 ):

在前面那个。。。我们管 Ta 叫 “ 小鬼 A  ” 吧,提交更改之后, “ 小鬼 B  ” 、 “ 小鬼 C  ” 陆续到来。

他们各自照猫画虎地提交了一次类似的 “ rm -rf ” 代码更改。

你的到此一游,现在也是我们的了!





其中的小鬼 B 最为过分,过了一阵又跑回来提交了第二次修改,还仿佛有点儿因为能在此处留名炫耀的意思( Not bad , right? )。

大哥,您这是在往公共项目的代码里恶意灌垃圾啊,得意个 P 啊。。。



其实像上面这种其他用户提交的代码,往往是需要经过主开发者审阅批准之后,才能被并入公共项目主体。

所以通常情况下,无论上面三个小鬼怎么在代码更改里捣乱,这些代码也不会被合并进项目主体危害他人。

但巧的不能再巧的是,由于 EdXposed 开发者的配置疏忽,小鬼们的捣蛋代码被系统当成了经过批准的代码。

于是,这些小鬼们的恶意 “ rm -rf ” 代码经由自动化打包程序抓取,被推送到了 EdXposed 的每日自动更新频道。

每日更新版有点类似 Chrome 浏览器的金丝雀版:相比普通版更新更频繁,适合爱尝鲜的用户,但 bug 也更多。


于是那些喜欢尝鲜用着每日更新版的用户们收到了更新,下载、安装。。。BOOM,于是欢声笑语中打出 GG 。。。

托尼在刷酷安( 一个玩机爱好者社区 )的时候恰巧发现了一些受害者。

其中一个老哥直接被删掉了接近 120 GB 的未备份数据,堪称今日最惨。。。



估计大家应该看明白了,这次的事先是因为几个业余小鬼搞了一出 “ 到此一游 ” ,恰巧遇到了主开发者的配置错误,导致垃圾更改被系统采纳。

之后这些藏着 “ 炸弹 ” 的新版更新被推送给了无辜的用户们,导致用户们的手机被清空。。。

出事的数小时后,EdXposed 官方收到受害用户的反馈、回撤了代码、紧急关闭了下载通道。

小鬼 A 则直接注销账号改名跑路。。。

小鬼 B 虽然在平台上发出道歉声明,但可能是发现锅太大扛不住,后来也注销账号跑路了。。。



小鬼 C 虽然没跑路,但是托尼总结了一下他的道歉声明,大概意思就是 “ 我提交的代码删的东西最少 ” 、 “ 没想到会被推送给用户 ” 、 “ 我有罪,但不打算背锅 ” 。

的确,如果不是 EdXposed 团队对于自动打包程序的配置有误,这几个小鬼的代码只会老死在更改请求的被拒绝区,绝对不会出来危害用户。

但不管是出于什么目的,往公共项目里提交不亚于病毒危害的更改,程序员的节操呢???

如果有机会的话,托尼想问问他们:当初开开心心提交 “ rm -rf ” 代码时候,几位脑子里想的是什么。。。



结果等真出事了,铁锅一甩,跑路我最快。。。

其实,像这种民间玩机党的开源项目,都会有一个不成文的 “ 免责条款 ” :

即 “ 使用这些工具的用户们默认知晓项目可能存在的风险,也乐意帮助开发者测试新版本做出完善 ”。

但是再怎么知晓风险也架不住真有人往里投毒啊,这可是什么免责条款都兜不住的。

但是说实话,目前我们对玩脱的开源项目没什么能约束的法律,就算真把手机玩成了砖也没人会真出来背锅。

所以托尼建议大家,如果想玩机,最好找一台主力机之外的备用手机,或者定期对手机的数据进行导出备份。

而且每当有新版本推送出来的时候,不要当那第一个吃螃蟹的小伙伴,看看社区里其他小伙伴们的反馈之后再动手。

总之,玩机有风险,入坑需谨慎!!!
阅读原文

文章来源: 留园 查看原文
https://www.6parknews.com/newspark/view.php?app=news&act=view&nid=417699
分享文章:
还没有评论
登录后发表评论
返回 到顶部