ORP – 开源研究项目

我们创建Exploitee.rs（前身为GTVHacker）已有十多年，作为一个研究小组，我们的唯一目的是为了公众利益解锁嵌入式设备。当时，我们的目标是GoogleTV设备，但在该平台消亡后，我们将研究转向了通用的嵌入式设备。虽然每个目标都提供了独特的攻击面，但历史上我们依赖自己创建的自定义工具来协助研究。这些工具包括反汇编器插件（提供对二进制文件中感兴趣位置的分析）和模糊测试工具（允许在进行手动分析时进行持续的背景测试）。虽然这些工具使我们能够将时间集中在其他领域，但随着我们每个研究人员的发展，我们接受了自动化，并为内部工具增加了更多内容。不幸的是，这种方法产生了比我们能够分析的数据更多的输出，并且在某些情况下，我们认为它阻碍了漏洞的及时披露。尽管我们也考虑过开源我们的工具，但我们更愿意保持代码私有，因为我们认为这对我们未来的研究有价值。

因此，今天我们想向您介绍我们内部称为“Exploiteer的开源研究项目（ORP）”的内容。ORP将包括多个聊天机器人，对不同的项目进行自动化研究，包括模糊测试开源项目、审计APK文件和分析物联网固件。这些机器人随后将把所有结果输出到我们的Discord聊天服务器，供Exploitee.rs安全社区在指定频道中分析。项目将从添加我们的APK扫描机器人开始，该机器人枚举Google Play商店中的顶级APK列表，然后搜索APK及相关库中的泄露凭证、数据库和私钥。在每轮APK下载和分析后，机器人将重新启动，以便持续测试最新的顶级安卓移动应用。我们计划在后期升级该机器人，对APK进行更深入的分析，但将使用机器人当前的输出作为众包安全分析总体概念的验证。

ORP APK机器人的示例发现

我们鼓励研究人员梳理数据结果，并将发现私下披露给APK创建者。虽然我们感谢认可，但该项目的目标是通过对移动应用生态系统进行独立检查，为用户提供更安全的环境。我们还希望通过与其他研究人员合作来改进ORP项目的输出，因此如果您有改进建议，请随时告知我们。

如果您对ORP、向其他研究人员学习或对Exploitee.rs感兴趣，请来我们的Discord聊天服务器与我们交流。我们有一个很棒的社区，我们很友好，我们大多数人不会咬人。