随着全球手机数量持有数量达到30亿 ,手机已经成为每个人日常生活中不可或缺的重要部分。
面对日益增长的手机市场,相关厂商竞相推出新机型、新功能以及新创新技术。为了支持大规模创新,他们通常依靠第三方来提供所需的移动基础架构、硬件甚至软件,其中最常见的一种第三方解决方案是数字信号传感器(通常称为 DSP)。
在被Check Point命名为“阿喀琉斯”研究项目中,安全专家对最大的 DSP 芯片制造商之一高通科技进行了广泛的安全评估。高通主营芯片业务,占有超过 40% 的手机芯片市场份额,客户包括 Google、三星、LG、小米和 OnePlus 等高端手机厂商。
经过一系列缜密测试,Check Point研究人员在 DSP 芯片中发现了超过 400 个代码漏洞,这些漏洞可能对手机用户产生以下影响:
Check Point已向高通公司披露了这些研究结果(高通方面业已确认),同时通知相关厂商并为其提供了相应的 CVE,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。
重要说明
在手机厂商针对上述潜在风险开发出全面的解决方案之前,Check Point Research 暂不发布这些漏洞的完整技术细节。除了上报相关政府机构外,Check Point还及时通知了共同合作开展此研究的手机厂商,以协助他们提高手机的安全性。完整研究细节已披露给这些利益相关者。
Check Point Research 致力于提高全球技术和产品的安全性,并与任何有合作意向的安全厂商开展合作。为了防患未然,Check Point公司为可能受这些风险影响的组织提供了 20 个 SandBlast Mobile 移动管理设备免费许可,以免他们在发表本研究报告后的 6 个月内受到任何潜在的损害。
什么是 DSP?
DSP(数字信号处理器)是一个由硬件和软件组成的片上系统,旨在优化和支持设备的各项使用功能,包括:
简而言之,您可以将其视为一个单芯片计算机,几乎任何现代手机都包含至少一个这样的芯片。
一个 SoC(片上软件)可能具有支持日常手机使用的各个功能,例如图像处理、计算机视觉、与神经网络相关的计算、摄像头流传输、音频和语音数据。此外,手机厂商可以选择性地使用这些“微型计算机”来插入自己的功能,并将这些功能作为专用应用运行在现有框架之上。
新型攻击媒介
虽然 DSP 芯片提供了一种相对经济的解决方案,支持为手机用户提供更多功能和创新特性,但也要求付出的一定的代价。这些芯片为移动设备带来了新的攻击面和漏洞。DSP 芯片之所以更容易遭到攻击,是因为对除了制造商之外的任何其他人来说,检查 DSP 芯片设计、功能或代码都是一件极为复杂的事,因此他们通常将其作为“黑匣子”来管理。
我们的应对之计
Check Point Research 认为,这种生态系统可能对重大漏洞毫无招架之力,一旦遭到攻击,全球数百万用户都会遭殃。而修复这些漏洞需要协调厂商、制造商和经销商进行多次沟通。鉴于此,我们决定对当今最常用的芯片之一高通骁龙进行详细的评估和深入的安全调查。
由于 DSP 芯片具有“黑匣子”性质,手机厂商很难修复漏洞,这些问题需要先由芯片制造商来解决。我们利用有效的研究方法和先进的模糊测试技术克服了这些问题,获得了有关 DSP 芯片内部情况的罕见洞察,进而有效评估了芯片的安全控制,并确定了其薄弱之处。
威胁情报社区的先锋
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。
Check Point安全专家希望这项研究能够帮助 DSP 芯片生态系统建立更优越、更安全的环境,并为安全社区提供定期检查芯片安全状态的必要知识和工具,从而增强移动设备的安全性。
Check Point Research 具有市场上最高的威胁捕获率,可帮助组织抵御恶意软件、网络钓鱼、中间人攻击和操作系统漏洞利用程序等威胁。同时,我们强烈建议组织使用移动安全解决方案保护移动设备上的公司数据。SandBlast Mobile 可提供实时威胁情报和移动威胁可视性,以防它们对业务造成影响,同时也可针对本文提到的高通漏洞提供全面的保护。
好文章,需要你的鼓励
CIO们正面临众多复杂挑战,其多样性值得关注。除了企业安全和成本控制等传统问题,人工智能快速发展和地缘政治环境正在颠覆常规业务模式。主要挑战包括:AI技术快速演进、IT部门AI应用、AI网络攻击威胁、AIOps智能运维、快速实现价值、地缘政治影响、成本控制、人才短缺、安全风险管理以及未来准备等十个方面。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
过去两年间,许多组织启动了大量AI概念验证项目,但失败率高且投资回报率令人失望。如今出现新趋势,组织开始重新评估AI实验的撒网策略。IT观察者发现,许多组织正在减少AI概念验证项目数量,IT领导转向商业AI工具,专注于有限的战略性目标用例。专家表示,组织正从大规模实验转向更专注、结果导向的AI部署,优先考虑能深度融入运营工作流程并产生可衡量结果的少数用例。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。