给软件开发者准备的优质简报,每日阅读 10分钟

Twin brothers wipe 96 government databases minutes after being fired

473 pointsLinkComment(411)Share

双胞胎兄弟被裁后数分钟内删除96个政府数据库

  • 穆尼布·艾赫特和索哈伊布·艾赫特兄弟均为34岁,曾于2015年在弗吉尼亚州因电信欺诈和计算机犯罪认罪入狱(分别被判3年和2年),出狱后于2023至2024年间先后入职服务45个联邦客户的科技公司Opexus
  • 2025年2月18日下午4:50两人被微软Teams会议解雇,4:56分索哈伊布的VPN和Windows账户被停,但穆尼布的账户被遗漏未被撤销;穆尼布随即在4:56分开始访问政府数据库,4:58分用"DROP DATABASE dhsproddb"命令删除国土安全部数据库,4:59分向AI询问如何清除系统日志
  • 一小时内穆尼布删除了约96个含美国政府信息的数据库,下载1805个平等就业机会委员会文件至U盘,并窃取至少450人的联邦税务信息;索哈伊布全程旁观怂恿,甚至建议"应该搞个删除脚本来勒索他们"
  • 2025年3月12日联邦特工搜查索哈伊布位于亚历山大市的住宅,查获7把枪支和370发弹药;鉴于其前科记录他本无持枪资格
  • 穆尼布于2026年4月15日签署认罪协议;索哈伊布于2026年5月7日经陪审团审判被判合谋计算机欺诈、密码交易及无证持枪三项罪名成立,将于9月量刑;穆尼布随后从狱中提交文件试图撤回认罪
  • Opexus承认背景调查不够充分、解雇流程处理不当,但最终Muneeb的认罪和Sohaib的定罪结论不变

Removing the modem and GPS from my 2024 RAV4 hybrid

318 pointsLinkComment(158)Share

物理移除2024款RAV4混动版调制解调器和GPS:保护隐私的实战指南

  • 现代汽车默认启用大量传感器和持续数据传输功能,收集位置、速度、燃油量、视频画面、驾驶员注意力等数百种数据点,通过LexisNexis、Verisk等数据经纪商实现商业化变现,带来严重隐私和安全风险;具体案例包括2025年斯巴鲁漏洞可远程解锁并追踪实时GPS位置、2023年特斯拉员工内部分享敏感图像、2015年Miller和Valasek远程控制Jeep切断引擎、Mozilla揭示25家车企收集"性活动、移民状态、种族、体重"等敏感数据
  • 移除DCM后必须同时拆除GPS天线:CarPlay会同时接收手机GPS和汽车GPS信号,DCM断连时汽车GPS会向手机发送错误位置信息,导致定位故障跳转到内华达州中部(作者位于旧金山),完全拆除汽车GPS后才能彻底解决该问题;这也是原文标题强调"拆除GPS"的真正原因
  • 蓝牙连接会利用手机网络发送遥测数据至丰田,有线USB连接则不会;如需蓝牙便利性,可使用蓝牙转有线USB适配器,让汽车将蓝牙信号识别为USB设备,从而规避手机网络回传
  • 所需工具包括拆面板工具、10mm和8mm套筒、精密一字螺丝刀(可选),以及90美元的DCM旁路套件——该套件用于替代被拆除的DCM以恢复车内麦克风功能,使CarPlay通话正常工作;拆除过程需拆卸挡把面板、收音机、座椅加热控制面板等部件,拆除3颗8mm螺栓取出DCM后接上旁路套件即可
  • 移除后云服务、OTA更新、SOS自动碰撞通知功能失效,但车辆其他功能100%正常;DCM旁路套件安装成功与否可通过CarPlay通话测试麦克风是否正常工作来验证,SOS指示灯熄灭也可作为调制解调器成功断连的判断依据
  • 作者将此视为当前短期解决方案,指出本地存储仍可能记录数据,同时警示调制解调器和GPS未来可能深度集成至车辆核心系统或被反维修权立法限制,认为更强有力的联邦隐私立法才是理想解决之道

RTX 5090 and M4 MacBook Air: Can It Game?

359 pointsLinkComment(95)Share

RTX 5090外接显卡+MacBook Air:技术实现与实用价值评估

  • 作者成功在M4 MacBook Air上通过Thunderbolt eGPU连接RTX 5090运行PC游戏。由于macOS不原生支持Apple Silicon的NVIDIA/AMD显卡驱动,解决方案是在ARM Linux虚拟机中实现PCI设备直通行(passthrough),通过自行开发的"apple-dma-pci"虚拟设备绕过了Apple Silicon DART硬件的1.5GB DMA映射容量限制和6.4万映射数量上限
  • 技术实现过程跨越多道底层障碍:修正了Hypervisor.framework中HV_MEMORY_EXEC权限导致的宿主机内核崩溃问题、使用kprobes动态修补NVIDIA驱动以适配DART对齐要求、实现256kB内存集群映射合并策略将映射计数降低4倍、以及通过修改ACTLR_EL1寄存器启用Apple Silicon硬件TSO模式避免FEX-Emu的软件TSO模拟开销
  • 游戏测试结果显示分辨率是关键变量:720p低画质下原生性能反而优于eGPU(模拟/虚拟化开销抵消GPU收益);但4K分辨率下eGPU使《赛博朋克2077》帧率从约3fps跃升至27fps(开启帧生成后达111fps),《古墓丽影》从8fps提升至40fps;相同RTX 5090在原生PCIe下的性能仍比M5 Max+eGPU配置快约2倍
  • AI推理是更具实用价值的应用场景:Qwen 3.6的预填充处理从M4 Air原生的17秒降至eGPU的150毫秒(提速120倍),单流token生成从22 tok/s提升至155 tok/s;RTX 5090的并发吞吐量随请求数几乎线性扩展,可有效解锁批处理性能,超越了M4 Max Mac Studio
  • 该方案目前需要Apple的特殊授权才能加载内核扩展,稳定性存在局限(Steam偶发崩溃循环、部分游戏触发DMA映射耗尽需重启虚拟机);主要定位为"展示可能性"的技术演示而非推荐购买方案;作者正推动将补丁合入QEMU主线以降低使用门槛

Scrcpy v4.0

363 pointsLinkComment(58)Share

scrcpy v4.0 发布:SDL3 迁移与核心功能升级

  • SDL3 迁移与窗口宽高比锁定:从 SDL2 升级至 SDL3,获得持续维护支持和最新错误修复;利用 SDL3 新 API,窗口调整时自动保持内容宽高比,避免黑边,可通过 --no-window-aspect-ratio-lock 恢复旧行为
  • 柔性显示屏(Flex Display)支持:新增 --flex-display-x)参数,可创建随窗口动态调整大小的虚拟显示屏,配合 --keep-active 防止息屏,适用于 Firefox 等需要灵活界面的应用场景
  • 相机手电筒与缩放控制:支持 MOD+t/Mod+Shift+t 快捷键控制闪光灯、MOD+方向键缩放,并可通过 --camera-torch--camera-zoom 参数在启动时配置
  • UI 体验改进:默认背景色改为深灰色,可通过 --background-color 自定义;设备断开连接时显示图标 2 秒后再关闭窗口,避免误认为程序崩溃;新增 F11 全屏和 Mod+q 退出快捷键
  • 关键问题修复:解决 Meta Quest 固件升级后的画面闪烁、OPUS 音频流静音解码时因非正规数导致的 CPU 异常占用、支持序列号含空格的设备连接,以及虚拟显示屏旋转和对齐等技术问题
  • 依赖版本升级:adb 升级至 37.0.0、FFmpeg 至 8.1.1、SDL 至 3.4.8、dav1d 至 1.5.3;新增 --keep-active 参数,通过周期性发送用户活动信号防止设备息屏,不修改全局设置且不依赖电源连接

New Nginx Exploit

175 pointsLinkComment(42)Share

Nginx-Rift:CVE-2026-42945 远程代码执行漏洞利用工具

  • NGINX ngx_http_rewrite_module中存在严重的堆缓冲区溢出漏洞,由depthfirst安全分析系统自主发现,漏洞代码于2008年被引入
  • 漏洞根源在于NGINX脚本引擎的双阶段处理机制不一致:当rewrite替换规则包含?字符时,is_args标志在主引擎中被设置,但长度计算阶段在全新清零的子引擎上执行
  • 长度计算阶段is_args=0返回原始捕获长度,复制阶段is_args=1调用ngx_escape_uri函数将每个可转义字节扩展为3字节,导致复制操作溢出分配的堆缓冲区
  • 受影响版本包括NGINX开源版0.6.27至1.30.0及NGINX Plus R32至R36,分别在1.31.0/1.30.1及R36 P4/R35 P2/R32 P6中修复
  • 攻击利用跨请求堆风水技术,通过POST请求体喷洒数据(URI字节无法包含空字节)篡改相邻ngx_pool_tcleanup指针,劫持至伪造的ngx_pool_cleanup_s结构以在内存池销毁时执行system()
  • 该项目使用Python(92.6%)和Shell(7.4%)编写,获得410个Star和75个Fork,拥有活跃的开源社区参与度
← 2026-05-13 2026-05-14 ...