至顶网网络与安全频道 02月06日 综合消息: 2020 年 2 月 5 日 – 网络安全解决方案提供商Check Point 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 今天披露了一些漏洞,它们可被黑客用于接管智能电灯及其控制器,进而将勒索软件或其他恶意软件传播到商用和家用网络。
Check Point 研究人员展示了攻击者如何利用物联网(智能电灯泡及其控桥)对家庭、企业乃至智慧城市中的传统计算机网络发起攻击。研究人员重点研究了市场领先的飞利浦 Hue 智能电灯泡和桥接器,并发现一些漏洞 (CVE-2020-6007) 允许他们使用 ZigBee 低功耗无线协议(用于控制各种物联网设备)中的远程利用程序侵入网络。
2017 年对 ZigBee 控制智能电灯泡安全性的一项分析显示,研究人员能够控制网端 Hue 电灯泡,并安装恶意固件。由于设计限制,厂商只能修复传播漏洞,因此攻击者仍可接管目标的 Hue 电灯泡。利用这一遗留漏洞,我们的研究人员决定更进一步,使用 Hue 电灯泡作为平台来接管电灯泡的控制桥接器,并最终攻击目标的计算机网络。攻击场景如下:
1.黑客控制电灯泡的颜色或亮度,让用户误以为电灯泡出现故障。该电灯泡在用户的控制应用中显示为“无法访问”,因此用户将尝试对其进行“重置”。
2.重置电灯泡的唯一方法是将它从应用中删除,然后命令控制桥接器重新发现电灯泡。
3.控制桥接器发现受攻击的电灯泡,用户将其重新添加到网络中。
4.然后,装有更新固件的黑客控制电灯泡使用 ZigBee 协议漏洞向控制桥接器发送大量数据,以触发堆缓冲区溢出。此外,这些数据还允许黑客在控制桥接器上安装恶意软件,进而连接到目标商用或家用网络。
5.恶意软件连接回黑客。借助已知漏洞(例如 EternalBlue),黑客通过控制桥接器侵入目标 IP 网络,以传播勒索软件或间谍软件。
Check Point Research 发言人表示:“许多人都知道,物联网设备可能带来安全风险,但这项研究表明,即使是最不起眼的设备(例如电灯泡)也会被黑客用于接管网络或植入恶意软件。因此,组织和个人必须使用最新修补程序更新设备,并将其与网络上的其他设备隔离开,以限制恶意软件的潜在传播,从而保护自身免遭可能出现的攻击。在当今复杂的第五代攻击环境中,我们不能忽视任何联网设备的安全性。”
这项研究在特拉维夫大学 Check Point 信息安全研究所 (CPIIS) 的帮助下完成,并于 2019 年 11 月与飞利浦和 Signify(飞利浦品牌的母公司)共同披露。Signify 确认其产品存在漏洞,并在随后开发了修补程序(固件 1935144040),该补丁已通过自动方式进行了相关产品升级。Check Point建议该产品用户检查自动升级设置,以确保产品升级至最新固件。
“我们承诺将尽一切可能确保我们的产品是种安全,同时保护用户的隐私不受侵犯。我们衷心感谢Check Point的发现以及后续安全方面的合作,这使我们能够及时推出必要的补丁从而避免了我们用户可能面对的风险。”George Yianni,飞利浦 Hue公司技术总监。
Check Point 率先提供整合安全解决方案,以强化并保护物联网设备固件。凭借最近收购的技术,Check Point 可支持组织使用设备自带运行时保护功能规避其面临的潜在设备级攻击。
好文章,需要你的鼓励
Gartner预测,到2030年所有IT工作都将涉及AI技术的使用,这与目前81%的IT工作不使用AI形成鲜明对比。届时25%的IT工作将完全由机器人执行,75%由人类在AI辅助下完成。尽管AI将取代部分入门级IT职位,但Gartner认为不会出现大规模失业潮,目前仅1%的失业由AI造成。研究显示65%的公司在AI投资上亏损,而世界经济论坛预计AI到2030年创造的就业机会将比消除的多7800万个。
CORA是微软研究院与谷歌研究团队联合开发的突破性AI视觉模型,发表于2023年CVPR会议。它通过创新的"区域提示"和"锚点预匹配"技术,成功解决了计算机视觉领域的一大挑战——开放词汇目标检测。CORA能够识别训练数据中从未出现过的物体类别,就像人类能够举一反三一样。在LVIS数据集测试中,CORA的性能比现有最佳方法提高了4.6个百分点,尤其在稀有类别识别上表现突出。这一技术有望广泛应用于自动驾驶、零售、安防和辅助技术等多个领域。
人工智能正从软件故事转向AI工厂基础,芯片、数据管道和网络协同工作形成数字化生产系统。这种新兴模式重新定义了性能衡量标准和跨行业价值创造方式。AI工厂将定制半导体、低延迟结构和大规模数据仪器整合为实时反馈循环,产生竞争优势。博通、英伟达和IBM正在引领这一转变,通过长期定制芯片合同和企业遥测技术,将传统体验转化为活跃的数字生态系统。
中国电信研究院联合重庆大学、北航发布T2R-bench基准,首次系统评估AI从工业表格生成专业报告的能力。研究涵盖457个真实工业表格,测试25个主流AI模型,发现最强模型得分仅62.71%,远低于人类专家96.52%。揭示AI在处理复杂结构表格、超大规模数据时存在数字计算错误、信息遗漏等关键缺陷,为AI数据分析技术改进指明方向。