Olivia
Online
Vladimír Smitka
@smitka
Síťař, vývojář a bezpečnostní výzkumník, zakladatel firmy LYNT services s.r.o.
A network engineer, developer and security researcher, founder of @LyntCZ.
Pilsen, Czech Republic
Joined January 2009
166 Following
1.1K Followers
2.2K Posts
Pinned Tweet
Koho zajímají mé aktivity v elektotechnice a bastlení, může sledovat i můj druhý profil @MakerClassCZ, který jsem právě učinil aktivním. Plánuji tam dávat více tipů a fotek z mého hračkami a udělátky zabordeleného stolu 😀
Po dlouhém plánování se konečně začíná rýsovat první bastlířský kurz #makerclass. Proběhne v sobotu 30.8. v Plzni a hned to bude komplexní celodenní hraní, které projde vše od základů, přes pájení po programování mikrokontrolérů. Přihlásit se můžete na https://t.co/6b48FRQNVg https://t.co/tMUvef3vYA
@josefprusa @FauxHammerBlog @lost_in_tech I’m working on it 😉 I still need to investigate some communication so I can verify and clarify a few things. It’s a bit more complicated because they download undocumented bins not available in the repo. So far, I’ve been working primarily from the source code…
Thank you for your reply! What you describe is exactly I what I see in the code. I’m still working through the rest of the ecosystem.
This is worth keeping clear: telemetry (which Orca disables in source) and the plugin’s startup update-check ping to Bambu are two different things. In Orca the ping doesn’t happen by default - only if the user opts in to the plugin. In any slicer that ships it loaded, it does.
Once the plugin is loaded, it’s a closed binary auto-updating and executing without integrity checks. So Bambu can change what runs inside any slicer.
Orca shipping the plugin makes sense, it’s the community alt for Bambu printers. Less clear is why non-Bambu vendors still ship it in their forks…
As for Qidi, I'm a bit confused about their slicers. They have Qidi Slicer, which is a fork of Prusa Slicer with a few modifications that don't seem suspicious to me (but the package doesn't fully match the source). And then they have Qidi Studio, which seems to me to be just a renamed Bambu Studio - it downloads the libqidi_networking library - at least from their own servers.
Who to follow
Michal Špaček
@spazef0rze
In your web, securing your app. Hacker, webdev, speaker. Security @Shoptet, ex-@reporturi. HTTPS = How To Transfer Private Sh*. Also https://t.co/FaJemVWLCx, https://t.co/claenMAOrC.
geekovo
@geekovo
Vymýšlím software co pohání weby, které denně používáte. Učím používat AI. Digitální alterego účtu @davidgrudl, tvůrce #nettefw a webu Uměligence.
Filip Podstavec
@filippodstavec
Roky jsem ladil obsah pro roboty. Roboti to mezitím pochopili líp než já. Teď s nimi sedím v kódu a tvářím se, že pracuju.
@SneakyAzWhat @josefprusa At first look, Snapmaker seems fine. It appears that, by default, those third party privacy-concern features are disabled with no option to enable them (unlike other vendors). However, they use their own cloud and send some telemetry and I’m not sure if you can opt out.
@chiptronCZ Přijde mi zajímavé, že si někdo nechá ve svém SW knihovnu, která posílá všechno o jeho zálaznících konkurenci 🤷♂️
@josefprusa Correction: In Elegoo, the download of libbambu_networking is commented out and is dead code now. However, it was commented out after the UI removal so it was used for some time without the option to deactivate it. I apologize for the inaccuracy.
I looked at those slicers too...
CWE-494 isn't just a Creality issue. It is inherited directly from OrcaSlicer, and all the other vendor forks have it too. This means Bambu can inject its own code into all of these slicers. That might be a good reason to submit a PR to @real_OrcaSlicer adding integrity checks, but someone would have to maintain it...
What is unfortunate is that all these vendors forked OrcaSlicer, yet apparently none of them contributed anything back.
At the same time, they all modified the cloud opt-out / libbambu_networking behavior. Creality completely removed Stealth Mode from the UI. Elegoo commented out the control toggles. FlashForge left the option in the UI, but commented out and disabled the backend!!!, so the setting does nothing. Anycubic added its own networking stack, and the setting does not apply there.
Another interesting detail is that the official Anycubic package does not fully match the GitHub source code. It contains 13 additional binaries, and they also removed the Orca-branded models. 🙂
CrealityPrint has very aggressive telemetry. It sends more than 70 different events to a Chinese SaaS platform, Sensors Analytics / 神策, (IMHO) without clear consent. They claim the data is anonymous, but it includes permanent identifiers such as device_id and user_id, along with information about printed models, other printers, and much more. On top of that, the privacy dialog seems to almost never appear.
As for libbambu_networking (used by all vendors), the slicers expose the user's public IP address, the slicer itself, and its usage frequency to Bambu. Once a user logs into MakerWorld (I am not sure all users realize this is Bambu) it can link that to their identity, full printer information, what they print, and their slicer settings (amazing marketing source). Bambu can also silently push arbitrary code to your computer via the libbambu_networking update and execute it when the slicer launches.
Před malou chvilkou vyšel #WordPress 7.0 🎉 Na tuto verzi jsem se hodně těšil a na prvních webech se pouštím do nasazování nových AI funkcí😀
Myslel jsem, že mě s DNS už jen tak nic nepřekvapí. Ale dnes jsem při debugu mailů zjistil, že spamhaus blokuje dotazy, když přijdou přes CloudFlare/Google DNS a všechny adresy se pak tváří, že jsou na blacklistu 🤯 https://t.co/IuXIsTR1rm
@hassmanm @MakerFaireCZ @adent @MultiTricker @chiptronCZ @karel_kotrba @martin_velisek Rozhodně budu, pravděpodobně v sobotu. Budu brát i malé bastlířky, tak musíme ještě doladit, kdy přesně pojedeme.
@tcpj_cz @chiptronCZ U Androidů (toto se myslím týká 8+) se aplikace třetích stran spouštějí v režimu, který ke zneužití nemá oprávnění (nemusí platit pro rootnuté, custom roms,...). Ale bude tam spousty jiných zranitelností, které to doženou 🙂
@hassmanm @NemecekPanda38 @Electro_L_I_B A je to zrovna use case, kdy lze použít RP2040 a ne RP2350...
@hassmanm @NemecekPanda38 @Electro_L_I_B A teď ještě jedna úplná novinka, dostal jsem na Picopad MakeCode Arcade 😁 https://t.co/TcGPjIhDZV
Zhruba před rokem jsem zvládnul všechny části procesu, jak na #Picopad od @pajenicko dostat editor MakeCode Arcade. Nebylo to jednoduché, kvůli nepodporovanému display, ale všechny překážky jsem nakonec překonal a už si povídají 😀
@NemecekPanda38 @hassmanm @Electro_L_I_B Přeložený CircuitPython pro Picopad s RP2350 mám, ale oficiální port jsem zatím nedělal. To by bylo potřeba, aby Igor zaregistroval další PID/VID pro USB.
Relativně bezpečné testovací PoC (ten test skript, nemodifikuje su jako hlavní PoC): https://t.co/dqVBZlOvtO
Vyžaduje Python 3.10+, kdyby někdo potřeboval pro starší Pythony, tak mám kdyžtak upravenou verzi.
Snad už o tom víte, ale pokud provozujete linuxové servery, dejte pozor na https://t.co/rIxzc6PBuD. U debian based systému stačí modul blacklistovat, u redhat je to problém, protože je modul builtin a nejde vypnout bez restartu... A kernelcare ještě patch venku nemá...
Debian/Ubuntu:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
RHEL/Centos/Rocky/Alma:
grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
a k tomu reboot
Last Seen Users on Sotwe
kinkonthemark ➡️ NYC + Atlanta KDS
Seen from United Kingdom
skyback4736
Seen from Indonesia
ciara
Seen from Singapore
Lgbt Anonimo
Seen from Spain
Aunty Lover
Seen from Spain
249
Vạn sử khởi đầu nan tương lai ( chưa tính )
Seen from Vietnam
Interracial Funlover
Seen from Indonesia
星子
Seen from Germany
صنعانيه
Seen from France
Most Popular Users
Elon Musk
@elonmusk
240.1M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.6M followers
Cristiano Ronaldo
@cristiano
108.8M followers
Narendra Modi
@narendramodi
106.9M followers
Rihanna
@rihanna
97.2M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.5M followers
KATY PERRY
@katyperry
86.7M followers
Taylor Swift
@taylorswift13
80.5M followers
Lady Gaga
@ladygaga
72.1M followers
Kim Kardashian
@kimkardashian
69.3M followers
YouTube
@youtube
68.6M followers
Virat Kohli
@imvkohli
68.4M followers
Bill Gates
@billgates
63.4M followers
The Ellen Show
@theellenshow
62.5M followers
CNN
@cnn
61.9M followers
Neymar Jr
@neymarjr
60.9M followers
X
@x
60.9M followers
CNN Breaking News
@cnnbrk
59.9M followers