CVE-2026-0091: An issue in android window management to Arbitrary Code Execution in Launcher process

<p>This issue CVE-2026-0091 has been fixed for Android 14+ in <a href="https://source.android.com/docs/security/bulletin/2026/2026-06-01" target="_blank" rel="noopener">June 2026 Android Security Bulletin</a>. <a href="https://android.googlesource.com/platform/frameworks/base/+/40c30bb5613ee94403723b37d0d6c58197d3d1b4" target="_blank" rel="noopener">Click here to see the patch</a></p><p>The following is copied from my repo <a href="https://github.com/canyie/TransitionPlayer" target="_blank" rel="noopener">https://github.com/canyie/TransitionPlayer</a> for backup purposes. For more info such as PoC code, please check the original repo.</p>

2026/7/8
阅读更多

Android 安全 常用技巧合集

<p>一些自己写 PoC 的时候的常用技巧。</p>

2026/6/9
阅读更多

Android 2026 年每月安全补丁分析索引

<p>2024 年度补丁分析:<a href="/2024/04/18/android-security-bulletin-index/">点我</a><br>2025 年度补丁分析:<a href="/2025/01/29/android-security-bulletin-index-2025/">点我</a></p><p>我是 2025 年 Android VRP 冠军!点这里看我的名字: <a href="https://bughunters.google.com/blog/google-vrps-in-review-2025#android-devices" target="_blank" rel="noopener">https://bughunters.google.com/blog/google-vrps-in-review-2025#android-devices</a></p><p>最后更新时间:2026/07/08 更新内容:更新 2026-06-01</p>

2026/3/18
阅读更多

频道内容备份

<p>由于频道被封,整理一下还算有用的内容发到这里来。偏技术向闲聊,发布一些随谈、碎碎念或短篇/价值密度不高等我觉得不适合专门写一篇博客但仍然有留下来的价值的内容,包括但不限于编程想法、系统内部解构、人生感悟等。<br>有挺多人好奇我的人生经历(见 #303),比如我在我的领域是怎么起步的,还有我作为一个厌学、走职业教育路的差生的故事(#88 #303),这里一并留下来。<br>部分我觉得现在没什么用的内容比如纯情感发泄和线下贴贴就不再留着了。另外考虑到这里偏正式,部分条目有修改。<br>本频道任何消息均不构成医学建议。</p>

2026/3/17
阅读更多

Android Runtime Resources Overlay 加载时序分析

<p>Fabricated Runtime Resources Overlay (FRRO) 是 Android 12 引入的一项新功能,它让开发者可以用代码或 shell 命令的方式动态操作 Runtime Resources Overlay(RRO) 而不需要像以前一样必须创建一个单独的 overlay app。然而四年后,网络上关于 FRRO 的文章依然少得可怜,所以在这里记录一次我调试 FRRO 问题的过程。</p>

2025/8/24
阅读更多

CVE-2024-49721 InputMethodSubtypeArray 反序列化漏洞分析

<p>神马,都 2025 年啦,还有 Parcel Mismatch 漏洞?!?对!你没听错!最经典最被广泛利用的 Parcel Mismatch 漏洞,它又双叒叕来了!怕了吗?!?<br>去年我和 <a href="https://github.com/cxxsheng" target="_blank" rel="noopener">Cxxsheng</a> 对整个 Parcelable IPC 机制进行了一些研究,并开发了一个扫描器用以扫描相关漏洞。此漏洞就是我们研究过程中发现的漏洞之一。我们于 2024 年 12 月 3 日提交漏洞报告,后被告知与另一份漏洞报告重复。以下记录了我们当时的分析。部分敏感信息已被移除或脱敏以保证安全。</p>

2025/2/4
阅读更多

Android 2025 年每月安全补丁分析索引

<p>2024 年度补丁分析:<a href="/2024/04/18/android-security-bulletin-index/">点我</a><br>2026 年度补丁分析:<a href="/2026/03/18/android-security-bulletin-index-2026/">点我</a></p><p>给大家分享一个好消息,经过一年的研究,我现在在 Google BugHunters 平台上总排名 24,2024 年度第 6 名,Android Program 第 4 名!感谢各位一年陪伴!</p><p>最后更新时间:2026/03/18 更新内容:更新 2026</p>

2025/1/29
阅读更多

Self-changing Data Type - CVE-2024-40676 漏洞分析

<p>今年 10 月份的时候,Android 安全公告用 CVE-2024-40676 的编号公布了一个很奇怪的 <a href="https://android.googlesource.com/platform/frameworks/base/+/e8a53246607b52b15269f97aef9ba7e928ba2473" target="_blank" rel="noopener">patch</a>。<br>AccountManagerService checkKeyIntent() 负责检查 account authenticator 传回的 intent,确保它安全再传回给 caller,防止 launch anywhere 漏洞。这个补丁看起来很暴力也很奇怪,直接 ban 了所有带有 content URI 的 intent,似乎完全不考虑兼容性。是什么样的漏洞才要上如此暴力的修复方法?<br>注:如下全是我的猜测,由于联系不到漏洞作者本人,无法确认这是否就是原本的问题。</p>

2024/11/7
阅读更多

Android 平台常见安全漏洞类型

<p>本文适用于已对 Android 开发有基础了解,希望了解 Android 系统层常见安全漏洞的人。祝大家写代码无 bug,挖洞天天挖到 Critical RCE 漏洞链。<br>本文开始创作时间:2024-02-19 完成时间:2024-02-29 发布时间:2024-11-05</p>

2024/11/4
阅读更多

Reviving an already patched vulnerability for half a year? The second spring of CVE-2024-0044

<p>This is a bypass of the initial patch of CVE-2024-0044, a High severity vulnerability in the Android framework that allows attackers with adb access to execute arbitrary code under the UID of arbitrary app.<br>The following is copied from my repo <a href="https://github.com/canyie/CVE-2024-0044" target="_blank" rel="noopener">https://github.com/canyie/CVE-2024-0044</a> for backup purposes. For more info such as PoC code, please check the original repo.</p>

2024/10/8
阅读更多

MagiskEoP (CVE-2024-48336): Magisk App Arbitrary Code Execution Vulnerability

<p>Magisk App before Canary version 27007 contains a vulnerability CVE-2024-48336, which allows a local untrusted app with no additional privileges to silently execute arbitrary code in the Magisk app and escalate privileges to root via a crafted package without user interaction.<br>The following is copied from my repo <a href="https://github.com/canyie/MagiskEoP" target="_blank" rel="noopener">https://github.com/canyie/MagiskEoP</a> for backup purposes. For more info such as PoC code, please check the original repo.</p>

2024/8/24
阅读更多

Android 2023-12 ~ 2024 每月安全补丁分析索引

<p>之前一直在看的每月补丁分析的博客 <a href="https://wrlus.com/" target="_blank" rel="noopener">https://wrlus.com/</a> 看起来是不再更新了,想了想反正自己每个月也要去追着看,干脆写一下分析得了,方便自己后面找。</p><p>本人很菜,分析的大部分都是 Java 层漏洞,大佬别骂我 QAQ</p><p>最初发表在我的 telegram 频道。每月补丁都会在此文中更新。</p><p>2025 年度补丁分析:<a href="/2025/01/29/android-security-bulletin-index-2025/">点我</a><br>2026 年度补丁分析:<a href="/2026/03/18/android-security-bulletin-index-2026/">点我</a></p><p>最后更新时间:2026/03/18 更新内容:添加 2026 年度链接</p>

2024/4/18
阅读更多

在故事开始之前的故事:Android 启动过程与 magiskinit 分析

<p>终于开了一直想写的这篇文章,再不写点东西就真的是年更博客了……</p><p>本文可以认为是 <a href="https://topjohnwu.github.io/Magisk/boot.html" target="_blank" rel="noopener">Android Booting Shenanigans</a> 的中文补充说明,同时添加了 magiskinit 的一些处理细节。即使你对 magiskinit 没兴趣也可以看看,说不定就有一些你平时从来没注意到的细节呢 :)</p>

2023/11/12
阅读更多

若人生是场大梦啊——记我人生的前19年

<p>上次发年终总结还是 2022 年发 2021 年的,2022 年的年终总结缺失了。今年发生了好多好多的事情,一直想写今年的年终总结但是却总没到年终,干脆写成前 19 年纪念吧。</p>

2023/11/6
阅读更多

写给 Android 开发者的系统基础知识科普

<p>与我以往的风格不同,本文为科普类文章,因此不会涉及到太过高深难懂的知识。但这些内容可能 Android 应用层开发者甚至部分 framework 层开发者都不了解,因此仍旧高能预警。</p><p>另外广东这两天好冷啊,大家注意保暖~</p>

2023/3/28
阅读更多

Android Property 实现解析与黑魔法

<p>Android Property (属性系统)可谓是 Android 中使用最广泛的进程间信息共享机制了,如 app 获取系统版本号,就是通过属性系统传递的信息;对于如此常用的底层机制,你可能知道 <code>getprop</code> <code>SystemProperties</code> <code>__system_property_get</code> 这些 API,但是,你真的了解它吗?这次,我们不但要会遵守规则用这些 API,我们还要成为规则的缔造者,让系统为我们服务!Let’s go!</p>

2022/4/9
阅读更多

从电子厂逃离的 17 岁 - 2021 年终总结

<p>当我写下这段文字时,时间是 2022 年 1 月 9 日,这个时候发上一年年终总结似乎晚了点;老实说,在这个博客刚创建的时候,我没有打算写这种记录性的内容,我的目标一直都是像 <a href="https://weishu.me/" target="_blank" rel="noopener">Weishu’s Notes</a> 的高质量内容;但是昨晚看 weishu 直播写代码,他说了一句让我很触动的话:“人生不需要有意义,有意思就够了。”我的 2021 可能没什么意义,但如果我不做点什么纪念一下,它很有可能就消逝在时间的长河里,连我自己都回忆不起来,更别提有意思了。</p>

2022/1/9
阅读更多

检测Magisk与Xposed

<p>不久前,开发者Rikka &amp; vvb2060上架了一款环境检测应用<a href="https://www.coolapk.com/apk/io.github.vvb2060.mahoshojo" target="_blank" rel="noopener">Momo</a>,把大家一直以来信任的各种反检测手段击得粉碎。下面我会通过部分已公开的源码,分析这个可能是史上最强的环境检测应用。</p>

2021/5/1
阅读更多

《空中浩劫》里的法航447

<p>2009年6月1日(UTC时间),法国航空447号班机(机型空中客车A330-203、注册号F-GZCP)在大西洋中部雷达盲区神秘失踪,后被证实坠毁,机上228人(乘客216人、机组成员12人)全数罹难。著名空难文献剧《Air Crash Investigation》(中文一般译为《空中浩劫》,以下简称ACI)在S12E13中收录了此事故,揭露了所谓的“空难真相”,将矛头直指副驾驶皮埃尔-塞德里克·博南(Pierre Cédric Bonin);同时,由于该片的知名度,让许多航空爱好者乃至真正的航空从业者认为该片所述即为事实。然而,真的是这样吗?</p>

2020/8/20
阅读更多

通过系统的native bridge实现注入zygote

<p>之前研究art的时候发现了native bridge,简单来说这东西是主要作用就是为了能运行不同指令集的so(比如x86的设备运行arm的app),而arm设备上这个东西一般都是关闭的,研究了一下后发现这东西挺适合动手脚的,刚好自己在用的<a href="https://github.com/RikkaApps/Riru" target="_blank" rel="noopener">Riru</a>被针对了,所以有了这篇博客。把对应的示例代码传到了github:<a href="https://github.com/canyie/NbInjection" target="_blank" rel="noopener">NbInjection</a>,接下来我们聊一下这个小玩具。</p>

2020/8/18
阅读更多