至顶网网络与安全频道 09月05日 综合消息: 网络安全解决方案提供商Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 披露了三星、华为、LG、索尼及其他基于 Android 操作系统的手机存在安全漏洞,导致用户容易受到高级网络钓鱼攻击。
受影响的 Android 手机使用无线 (OTA) 配置,支持蜂窝网络运营商由此将网络特定设置部署到接入其网络的新手机。但 Check Point Research 发现,OTA 配置行业标准 - 开放移动联盟客户端配置 (OMA CP) 采用有限的身份验证方法。远程代理能够利用这一点伪装成网络运营商,并向用户发送欺诈性 OMA CP 消息。该消息诱使用户接受恶意设置,例如,通过黑客拥有的代理服务器传输其互联网流量。
研究人员确定,由于某些三星手机没有对 OMA CP 消息发件人进行真实性检查,因此最容易受到这种形式的网络钓鱼攻击。只需用户接受 CP,恶意软件即可安装,无需发件人证明其身份。
华为、LG 和索尼手机确实设有一种身份验证方式,但黑客只需收件人的国际移动用户识别码 (IMSI) 便可“确认”其身份。攻击者能够通过各种方式获取受害者的 IMSI,包括创建一个恶意 Android 应用,以在其安装后读取手机 IMSI。此外,攻击者还可以伪装成网络运营商向用户发送短信,并要求他们接受 PIN 保护的 OMA CP 消息,从而绕过对 IMSI 的需求。如果用户随后输入提供的 PIN 码并接受 OMA CP 消息,则无需 IMSI 即可安装 CP。
Check Point 软件技术公司安全研究员 Slava Makkaveev 表示:“鉴于 Android 设备日益普及,这是一个必须解决的严重漏洞问题。如果没有更强大的身份验证方式,恶意代理将很容易通过无线配置发起网络钓鱼攻击。当收到 OMA CP 消息时,用户无法分辨其是否来自可信来源。在点击‘接受’后,他们的手机将很可能遭到攻击者的入侵。”
3 月,研究人员向受影响的厂商披露了研究结果。三星在其 5 月安全维护版本 (SVE-2019-14073) 中提供了针对此网络钓鱼攻击的修复程序,LG 于 7 月发布了他们的修复程序 (LVE-SMP-190006),华为计划将针对 OMA CP 的 UI 修复程序纳入新一代 Mate 系列或 P 系列智能手机中。索尼拒绝承认该漏洞的存在,称其设备遵循 OMA CP 规范。
好文章,需要你的鼓励
英特尔第三季度财报超华尔街预期,净收入达41亿美元。公司通过裁员等成本削减措施及软银、英伟达和美国政府的大额投资实现复苏。第三季度资产负债表增加200亿美元,营收增长至137亿美元。尽管财务表现强劲,但代工业务的未来发展策略仍不明朗,该业务一直表现不佳且面临政府投资条件限制。
美国认知科学研究院团队首次成功将进化策略扩展到数十亿参数的大语言模型微调,在多项测试中全面超越传统强化学习方法。该技术仅需20%的训练样本就能达到同等效果,且表现更稳定,为AI训练开辟了全新路径。
微软发布新版Copilot人工智能助手,支持最多32人同时参与聊天会话的Groups功能,并新增连接器可访问OneDrive、Outlook、Gmail等多项服务。助手记忆功能得到增强,可保存用户信息供未来使用。界面新增名为Mico的AI角色,并提供"真实对话"模式生成更机智回应。医疗研究功能也得到改进,可基于哈佛健康等可靠来源提供答案。同时推出内置于Edge浏览器的Copilot Actions功能,可自动执行退订邮件、预订餐厅等任务。
纽约大学等机构联合开发的ThermalGen系统能够将普通彩色照片智能转换为对应的热成像图片,解决了热成像数据稀缺昂贵的难题。该系统采用创新的流匹配生成模型和风格解耦机制,能适应从卫星到地面的多种拍摄场景,在各类测试中表现优异。研究团队还贡献了三个大规模新数据集,并计划开源全部技术资源,为搜救、建筑检测、自动驾驶等领域提供强有力的技术支撑。