canyie/TransitionPlayer

此问题已在 [2026 年 6 月 Android 安全公告](https://source.android.com/docs/security/bulletin/2026/2026-06-01) 中针对 Android 14+ 修复。[点击此处查看补丁](https://android.googlesource.com/platform/frameworks/base/+/40c30bb5613ee94403723b37d0d6c58197d3d1b4) ## 分析文章 待完成 等我有点空闲时间的时候会完成分析文章 但在那之前，我必须先应付课业和考试 ## 测试 构建项目，安装生成的 apk 文件（如果你使用 Android Studio 内的 Run 按钮，请开启“Always install with package manager”） 在 PC 上运行以下命令 ``` adb shell app_process '-Djava.class.path=$(pm path top.canyie.transitionplayer | cut -c9-) /system/bin top.canyie.transitionplayer.Main' ``` 然后通过点击 launcher 中的图标启动任意应用 Launcher 应用应该会发送一条通知，并且如果你使用的是 Android 14+，一个伪造的 overlay 将被注入到系统中，因此 `adb shell cmd overlay lookup android android:integer/config_multiuserMaximumUsers` 应该会返回 100 ## 修复 - [动画委托机制已被重构，IApplicationThread handle 不再被发送出 WindowManagerService](https://android.googlesource.com/platform/frameworks/base/+/40c30bb5613ee94403723b37d0d6c58197d3d1b4) - 从 Android 17 开始，[如果来自非系统，对 IApplicationThread 的调用将被拒绝](https://cs.android.com/android/_/android/platform/frameworks/base/+/3a9b1c451a0d4a2e5cea997364ecba98912f85fb)。我认为这不是缓解此类漏洞利用的有效方法，因为我认为攻击者可以诱骗 ActivityManagerService 使用由攻击者控制的 apk 路径向目标进程发起调用（尽管我自己还没有测试过），但这表明 Android 安全团队开始采取行动了

标签：Android, DSL, JS文件枚举, Web报告查看器, 域名枚举, 提权, 窗口管理