近日,Check Point Research (CPR) 发现了一组安全漏洞,它们可用于在全球三分之二的移动设备上实施恶意远程代码执行。这些漏洞影响了搭载联发科和高通(两家最大的移动芯片组制造商)芯片的 Android 智能手机。
漏洞源自联发科和高通音频解码器
经Check Point安全专家研究发现,上述漏洞均发生于于 Apple 无损音频编解码器 (ALAC),也称为 Apple 无损。ALAC 是一种由 Apple Inc.开发的音频编码格式,于 2004 年首次推出,用于数字音乐的无损数据压缩。2011 年底,Apple 将编解码器开源。自此,ALAC 格式被嵌入到许多非 Apple 音频播放设备和程序中,包括 Android 智能手机、Linux 和 Windows 媒体播放器及转换器。此后,Apple 多次更新了解码器的专有版本,修复并修补安全漏洞,但自 2011 年以来,共享代码一直未修补。CPR 发现,高通和联发科将易受攻击的 ALAC 代码移植到其音频解码器中。
信息披露
Check Point Research 已负责任地向联发科和高通披露了相关信息,并与这两家厂商密切合作,确保这些漏洞得以尽快修复。联发科将漏洞命名为 CVE-2021-0674 和 CVE-2021-0675。目前这些漏洞已修复,并发布在 联发科安全公告中。高通也在其安全公告中发布了 CVE-2021-30351 的补丁。CPR 为用户提供了补丁应用时间。
安全建议
Check Point Research 反向工程和安全研究事业部 Slava Makkaveev表示:“我们于21年底发现了一组漏洞,它们可用于在全球三分之二的移动设备上实施远程执行并进行权限升级。这些漏洞很容易被利用。黑客可能发送一首歌曲(或媒体文件)实施攻击,当潜在受害者播放时,它便会将代码注入特权媒体服务中。攻击者可以看到手机用户在其手机上查看的信息。在我们的验证中,通过这种方法能够窃取手机的摄像头视频流。近年来随着手机功能不断强大,我们认为用户手机中最敏感的信息就是包括音频和视频在内的媒体文件。攻击者可通过这些漏洞进行窃取,从而对用户造成无法挽回的损失。因此,Check Point建议手机用户不要轻易打开陌生人发送的媒体文件,并通过Android每月发布的更新及时为手机打补丁,从而在源头上防范黑客攻击”
CPR 目前尚未透露其研究结果的技术细节。这些细节将在 2022 年 5 月召开的 CanSecWest 会议上公布。
好文章,需要你的鼓励
谷歌CEO皮查伊在AI竞赛低谷期坚持"信号降噪"原则,顶住压力加倍投入,最终带领谷歌凭借Gemini系列重夺领先。他坚信AI将超越火与电的革命性影响,通过递归自我改进极大降低创意实现门槛,这场"创造力民主化"浪潮或将解锁80亿人的认知潜能。
浙江大学和吉利汽车研究院联合团队提出的FreeTimeGS是一种创新的动态3D场景重建方法。不同于传统方法,它允许高斯基元在任意时空位置自由出现,并赋予每个基元运动功能,使其能够随时间移动到相邻区域。研究通过4D正则化策略解决了高不透明度基元阻碍优化的问题。在多个数据集测试中,该方法在渲染质量和速度上均大幅超越现有技术,特别是在处理复杂动态场景时,使用单个RTX 4090 GPU能以467 FPS的速度实现1080p实时渲染,为电影制作、游戏和虚拟现实等应用提供了新可能。
李飞飞的World Labs以"空间智能"重新定义AI,专注3D物理世界理解,4个月估值飙至10亿美元,获科技巨头集体押注。她揭示语言无法编码物理世界,而DNA双螺旋等突破性发现都源于三维空间的深度认知。
这篇研究介绍了"对角线批处理"技术,该技术解决了循环记忆Transformer模型在处理长文本时的并行计算瓶颈。通过重新编排计算顺序,研究团队实现了在不破坏依赖关系的情况下进行并行计算,使LLaMA-1B模型处理长文本的速度提升3.3倍,同时内存使用减少167.1倍。这种纯运行时优化不需要重新训练模型,为实际应用中的长文本处理提供了高效解决方案。