近日,Check Point Research (CPR) 发现了一组安全漏洞,它们可用于在全球三分之二的移动设备上实施恶意远程代码执行。这些漏洞影响了搭载联发科和高通(两家最大的移动芯片组制造商)芯片的 Android 智能手机。
漏洞源自联发科和高通音频解码器
经Check Point安全专家研究发现,上述漏洞均发生于于 Apple 无损音频编解码器 (ALAC),也称为 Apple 无损。ALAC 是一种由 Apple Inc.开发的音频编码格式,于 2004 年首次推出,用于数字音乐的无损数据压缩。2011 年底,Apple 将编解码器开源。自此,ALAC 格式被嵌入到许多非 Apple 音频播放设备和程序中,包括 Android 智能手机、Linux 和 Windows 媒体播放器及转换器。此后,Apple 多次更新了解码器的专有版本,修复并修补安全漏洞,但自 2011 年以来,共享代码一直未修补。CPR 发现,高通和联发科将易受攻击的 ALAC 代码移植到其音频解码器中。
信息披露
Check Point Research 已负责任地向联发科和高通披露了相关信息,并与这两家厂商密切合作,确保这些漏洞得以尽快修复。联发科将漏洞命名为 CVE-2021-0674 和 CVE-2021-0675。目前这些漏洞已修复,并发布在 联发科安全公告中。高通也在其安全公告中发布了 CVE-2021-30351 的补丁。CPR 为用户提供了补丁应用时间。
安全建议
Check Point Research 反向工程和安全研究事业部 Slava Makkaveev表示:“我们于21年底发现了一组漏洞,它们可用于在全球三分之二的移动设备上实施远程执行并进行权限升级。这些漏洞很容易被利用。黑客可能发送一首歌曲(或媒体文件)实施攻击,当潜在受害者播放时,它便会将代码注入特权媒体服务中。攻击者可以看到手机用户在其手机上查看的信息。在我们的验证中,通过这种方法能够窃取手机的摄像头视频流。近年来随着手机功能不断强大,我们认为用户手机中最敏感的信息就是包括音频和视频在内的媒体文件。攻击者可通过这些漏洞进行窃取,从而对用户造成无法挽回的损失。因此,Check Point建议手机用户不要轻易打开陌生人发送的媒体文件,并通过Android每月发布的更新及时为手机打补丁,从而在源头上防范黑客攻击”
CPR 目前尚未透露其研究结果的技术细节。这些细节将在 2022 年 5 月召开的 CanSecWest 会议上公布。
好文章,需要你的鼓励
这项由浙江大学与阿里巴巴通义实验室联合开展的研究,通过创新的半在线强化学习方法,显著提升了AI界面助手在多步骤任务中的表现。UI-S1-7B模型在多个基准测试中创造了7B参数规模的新纪录,为GUI自动化代理的发展开辟了新的技术路径。
阿里巴巴联合浙江大学开发的OmniThink框架让AI学会像人类一样慢思考写作。通过信息树和概念池的双重架构,系统能够动态检索信息、持续反思,突破了传统AI写作内容浅薄重复的局限。实验显示该方法在文章质量各维度均显著超越现有最强基线,知识密度提升明显,为长文本生成研究开辟了新方向。
新加坡国立大学研究人员开发出名为AiSee的可穿戴辅助设备,利用Meta的Llama模型帮助视障人士"看见"周围世界。该设备采用耳机形态,配备摄像头作为AI伴侣处理视觉信息。通过集成大语言模型,设备从简单物体识别升级为对话助手,用户可进行追问。设备运行代理AI框架,使用量化技术将Llama模型压缩至10-30亿参数在安卓设备上高效运行,支持离线处理敏感文档,保护用户隐私。
腾讯混元3D 2.0是一个革命性的3D生成系统,能够从单张图片生成高质量的带纹理3D模型。该系统包含形状生成模块Hunyuan3D-DiT和纹理合成模块Hunyuan3D-Paint,采用创新的重要性采样和多视角一致性技术,在多项评估指标上超越现有技术,并提供用户友好的制作平台。作为开源项目,它将大大降低3D内容创作门槛,推动3D技术的普及应用。