随着全球手机数量持有数量达到30亿 ,手机已经成为每个人日常生活中不可或缺的重要部分。
面对日益增长的手机市场,相关厂商竞相推出新机型、新功能以及新创新技术。为了支持大规模创新,他们通常依靠第三方来提供所需的移动基础架构、硬件甚至软件,其中最常见的一种第三方解决方案是数字信号传感器(通常称为 DSP)。
在被Check Point命名为“阿喀琉斯”研究项目中,安全专家对最大的 DSP 芯片制造商之一高通科技进行了广泛的安全评估。高通主营芯片业务,占有超过 40% 的手机芯片市场份额,客户包括 Google、三星、LG、小米和 OnePlus 等高端手机厂商。
经过一系列缜密测试,Check Point研究人员在 DSP 芯片中发现了超过 400 个代码漏洞,这些漏洞可能对手机用户产生以下影响:
Check Point已向高通公司披露了这些研究结果(高通方面业已确认),同时通知相关厂商并为其提供了相应的 CVE,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。
重要说明
在手机厂商针对上述潜在风险开发出全面的解决方案之前,Check Point Research 暂不发布这些漏洞的完整技术细节。除了上报相关政府机构外,Check Point还及时通知了共同合作开展此研究的手机厂商,以协助他们提高手机的安全性。完整研究细节已披露给这些利益相关者。
Check Point Research 致力于提高全球技术和产品的安全性,并与任何有合作意向的安全厂商开展合作。为了防患未然,Check Point公司为可能受这些风险影响的组织提供了 20 个 SandBlast Mobile 移动管理设备免费许可,以免他们在发表本研究报告后的 6 个月内受到任何潜在的损害。
什么是 DSP?
DSP(数字信号处理器)是一个由硬件和软件组成的片上系统,旨在优化和支持设备的各项使用功能,包括:
简而言之,您可以将其视为一个单芯片计算机,几乎任何现代手机都包含至少一个这样的芯片。
一个 SoC(片上软件)可能具有支持日常手机使用的各个功能,例如图像处理、计算机视觉、与神经网络相关的计算、摄像头流传输、音频和语音数据。此外,手机厂商可以选择性地使用这些“微型计算机”来插入自己的功能,并将这些功能作为专用应用运行在现有框架之上。
新型攻击媒介
虽然 DSP 芯片提供了一种相对经济的解决方案,支持为手机用户提供更多功能和创新特性,但也要求付出的一定的代价。这些芯片为移动设备带来了新的攻击面和漏洞。DSP 芯片之所以更容易遭到攻击,是因为对除了制造商之外的任何其他人来说,检查 DSP 芯片设计、功能或代码都是一件极为复杂的事,因此他们通常将其作为“黑匣子”来管理。
我们的应对之计
Check Point Research 认为,这种生态系统可能对重大漏洞毫无招架之力,一旦遭到攻击,全球数百万用户都会遭殃。而修复这些漏洞需要协调厂商、制造商和经销商进行多次沟通。鉴于此,我们决定对当今最常用的芯片之一高通骁龙进行详细的评估和深入的安全调查。
由于 DSP 芯片具有“黑匣子”性质,手机厂商很难修复漏洞,这些问题需要先由芯片制造商来解决。我们利用有效的研究方法和先进的模糊测试技术克服了这些问题,获得了有关 DSP 芯片内部情况的罕见洞察,进而有效评估了芯片的安全控制,并确定了其薄弱之处。
威胁情报社区的先锋
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。
Check Point安全专家希望这项研究能够帮助 DSP 芯片生态系统建立更优越、更安全的环境,并为安全社区提供定期检查芯片安全状态的必要知识和工具,从而增强移动设备的安全性。
Check Point Research 具有市场上最高的威胁捕获率,可帮助组织抵御恶意软件、网络钓鱼、中间人攻击和操作系统漏洞利用程序等威胁。同时,我们强烈建议组织使用移动安全解决方案保护移动设备上的公司数据。SandBlast Mobile 可提供实时威胁情报和移动威胁可视性,以防它们对业务造成影响,同时也可针对本文提到的高通漏洞提供全面的保护。
好文章,需要你的鼓励
OpenAI CEO描绘了AI温和变革人类生活的愿景,但现实可能更复杂。AI发展将带来真正收益,但也会造成社会错位。随着AI系统日益影响知识获取和信念形成,共同认知基础面临分裂风险。个性化算法加剧信息茧房,民主对话变得困难。我们需要学会在认知群岛化的新地形中智慧生存,建立基于共同责任而非意识形态纯洁性的社区。
杜克大学等机构研究团队通过三种互补方法分析了大语言模型推理过程,发现存在"思维锚点"现象——某些关键句子对整个推理过程具有决定性影响。研究表明,计划生成和错误检查等高层次句子比具体计算步骤更重要,推理模型还进化出专门的注意力机制来跟踪这些关键节点。该发现为AI可解释性和安全性研究提供了新工具和视角。
传统数据中心基础设施虽然对企业至关重要,但也是预算和房地产的重大负担。模块化数据中心正成为强有力的替代方案,解决企业面临的运营、财务和环境复杂性问题。这种模块化方法在印度日益流行,有助于解决环境问题、满足人工智能的电力需求、降低成本并支持新一代分布式应用。相比传统建设需要数年时间,工厂预制的模块化数据中心基础设施可在数周内部署完成。
法国索邦大学团队开发出智能医学文献管理系统Biomed-Enriched,通过AI自动从PubMed数据库中识别和提取高质量临床案例及教育内容。该系统采用两步注释策略,先用大型AI模型评估40万段落质量,再训练小型模型处理全库1.33亿段落。实验显示该方法仅用三分之一训练数据即可达到传统方法效果,为医学AI发展提供了高效可持续的解决方案。