随着全球手机数量持有数量达到30亿 ,手机已经成为每个人日常生活中不可或缺的重要部分。
面对日益增长的手机市场,相关厂商竞相推出新机型、新功能以及新创新技术。为了支持大规模创新,他们通常依靠第三方来提供所需的移动基础架构、硬件甚至软件,其中最常见的一种第三方解决方案是数字信号传感器(通常称为 DSP)。
在被Check Point命名为“阿喀琉斯”研究项目中,安全专家对最大的 DSP 芯片制造商之一高通科技进行了广泛的安全评估。高通主营芯片业务,占有超过 40% 的手机芯片市场份额,客户包括 Google、三星、LG、小米和 OnePlus 等高端手机厂商。
经过一系列缜密测试,Check Point研究人员在 DSP 芯片中发现了超过 400 个代码漏洞,这些漏洞可能对手机用户产生以下影响:
Check Point已向高通公司披露了这些研究结果(高通方面业已确认),同时通知相关厂商并为其提供了相应的 CVE,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。
重要说明
在手机厂商针对上述潜在风险开发出全面的解决方案之前,Check Point Research 暂不发布这些漏洞的完整技术细节。除了上报相关政府机构外,Check Point还及时通知了共同合作开展此研究的手机厂商,以协助他们提高手机的安全性。完整研究细节已披露给这些利益相关者。
Check Point Research 致力于提高全球技术和产品的安全性,并与任何有合作意向的安全厂商开展合作。为了防患未然,Check Point公司为可能受这些风险影响的组织提供了 20 个 SandBlast Mobile 移动管理设备免费许可,以免他们在发表本研究报告后的 6 个月内受到任何潜在的损害。
什么是 DSP?
DSP(数字信号处理器)是一个由硬件和软件组成的片上系统,旨在优化和支持设备的各项使用功能,包括:
简而言之,您可以将其视为一个单芯片计算机,几乎任何现代手机都包含至少一个这样的芯片。
一个 SoC(片上软件)可能具有支持日常手机使用的各个功能,例如图像处理、计算机视觉、与神经网络相关的计算、摄像头流传输、音频和语音数据。此外,手机厂商可以选择性地使用这些“微型计算机”来插入自己的功能,并将这些功能作为专用应用运行在现有框架之上。
新型攻击媒介
虽然 DSP 芯片提供了一种相对经济的解决方案,支持为手机用户提供更多功能和创新特性,但也要求付出的一定的代价。这些芯片为移动设备带来了新的攻击面和漏洞。DSP 芯片之所以更容易遭到攻击,是因为对除了制造商之外的任何其他人来说,检查 DSP 芯片设计、功能或代码都是一件极为复杂的事,因此他们通常将其作为“黑匣子”来管理。
我们的应对之计
Check Point Research 认为,这种生态系统可能对重大漏洞毫无招架之力,一旦遭到攻击,全球数百万用户都会遭殃。而修复这些漏洞需要协调厂商、制造商和经销商进行多次沟通。鉴于此,我们决定对当今最常用的芯片之一高通骁龙进行详细的评估和深入的安全调查。
由于 DSP 芯片具有“黑匣子”性质,手机厂商很难修复漏洞,这些问题需要先由芯片制造商来解决。我们利用有效的研究方法和先进的模糊测试技术克服了这些问题,获得了有关 DSP 芯片内部情况的罕见洞察,进而有效评估了芯片的安全控制,并确定了其薄弱之处。
威胁情报社区的先锋
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。
Check Point安全专家希望这项研究能够帮助 DSP 芯片生态系统建立更优越、更安全的环境,并为安全社区提供定期检查芯片安全状态的必要知识和工具,从而增强移动设备的安全性。
Check Point Research 具有市场上最高的威胁捕获率,可帮助组织抵御恶意软件、网络钓鱼、中间人攻击和操作系统漏洞利用程序等威胁。同时,我们强烈建议组织使用移动安全解决方案保护移动设备上的公司数据。SandBlast Mobile 可提供实时威胁情报和移动威胁可视性,以防它们对业务造成影响,同时也可针对本文提到的高通漏洞提供全面的保护。
好文章,需要你的鼓励
亚马逊推出新型 AI 模型 Nova Act,能在浏览器中执行网购等任务。目前仅向开发者开放"研究预览"。亚马逊还通过网页门户扩大了其他 Nova AI 模型的访问权限,使它们更易于发现和使用。Nova Act 可执行网页搜索、购物和回答屏幕问题等任务,甚至可按计划执行任务。
人工智能芯片初创公司Cerebras Systems称已解决美国外国投资委员会(CFIUS)对其资金来源的担忧,为计划中的首次公开募股(IPO)扫清了一个关键障碍。公司修改了与阿联酋G42的协议,限制其持有无表决权股份,以消除监管机构的顾虑。Cerebras正积极拓展客户群,计划在北美和法国部署大量AI加速器,以提供高性能推理即服务平台。
在人工智能日益承担编码和软件开发工作的今天,人类是否还需要学习这些计算机编程技能?这个问题对于很多人的职业选择以及领导者和人才培养者来说都很重要。本文从多个角度分析了为什么学习编程仍然很有价值,包括培养批判性思维、更好地利用AI辅助编程、了解企业环境、发挥人类创新优势、调试和修复代码等。文章强调,关键是要学习新的"氛围编程"范式,将编程知识与现代世界运作方式相结合。
量子计算技术的发展引发了对传统加密方法安全性的担忧。然而,与其将其视为对网络安全的威胁,不如将其看作科学领域的一次重大突破。量子计算在材料科学、药物研发和医疗保健等领域的应用前景更为广阔,可能为人类带来更多长远利益。本文探讨了量子计算的实际应用场景,以及它对加密技术的影响可能被夸大的原因。