近日,Check Point Research (CPR) 发现了一组安全漏洞,它们可用于在全球三分之二的移动设备上实施恶意远程代码执行。这些漏洞影响了搭载联发科和高通(两家最大的移动芯片组制造商)芯片的 Android 智能手机。
漏洞源自联发科和高通音频解码器
经Check Point安全专家研究发现,上述漏洞均发生于于 Apple 无损音频编解码器 (ALAC),也称为 Apple 无损。ALAC 是一种由 Apple Inc.开发的音频编码格式,于 2004 年首次推出,用于数字音乐的无损数据压缩。2011 年底,Apple 将编解码器开源。自此,ALAC 格式被嵌入到许多非 Apple 音频播放设备和程序中,包括 Android 智能手机、Linux 和 Windows 媒体播放器及转换器。此后,Apple 多次更新了解码器的专有版本,修复并修补安全漏洞,但自 2011 年以来,共享代码一直未修补。CPR 发现,高通和联发科将易受攻击的 ALAC 代码移植到其音频解码器中。
信息披露
Check Point Research 已负责任地向联发科和高通披露了相关信息,并与这两家厂商密切合作,确保这些漏洞得以尽快修复。联发科将漏洞命名为 CVE-2021-0674 和 CVE-2021-0675。目前这些漏洞已修复,并发布在 联发科安全公告中。高通也在其安全公告中发布了 CVE-2021-30351 的补丁。CPR 为用户提供了补丁应用时间。
安全建议
Check Point Research 反向工程和安全研究事业部 Slava Makkaveev表示:“我们于21年底发现了一组漏洞,它们可用于在全球三分之二的移动设备上实施远程执行并进行权限升级。这些漏洞很容易被利用。黑客可能发送一首歌曲(或媒体文件)实施攻击,当潜在受害者播放时,它便会将代码注入特权媒体服务中。攻击者可以看到手机用户在其手机上查看的信息。在我们的验证中,通过这种方法能够窃取手机的摄像头视频流。近年来随着手机功能不断强大,我们认为用户手机中最敏感的信息就是包括音频和视频在内的媒体文件。攻击者可通过这些漏洞进行窃取,从而对用户造成无法挽回的损失。因此,Check Point建议手机用户不要轻易打开陌生人发送的媒体文件,并通过Android每月发布的更新及时为手机打补丁,从而在源头上防范黑客攻击”
CPR 目前尚未透露其研究结果的技术细节。这些细节将在 2022 年 5 月召开的 CanSecWest 会议上公布。
好文章,需要你的鼓励
Queen's大学研究团队提出结构化智能体软件工程框架SASE,重新定义人机协作模式。该框架将程序员角色从代码编写者转变为AI团队指挥者,建立双向咨询机制和标准化文档系统,解决AI编程中的质量控制难题,为软件工程向智能化协作时代转型提供系统性解决方案。
苹果在iOS 26公开发布两周后推出首个修复更新iOS 26.0.1,建议所有用户安装。由于重大版本发布通常伴随漏洞,许多用户此前选择安装iOS 18.7。尽管iOS 26经过数月测试,但更大用户基数能发现更多问题。新版本与iPhone 17等新机型同期发布,测试范围此前受限。预计苹果将继续发布后续修复版本。
西北工业大学与中山大学合作开发了首个超声专用AI视觉语言模型EchoVLM,通过收集15家医院20万病例和147万超声图像,采用专家混合架构,实现了比通用AI模型准确率提升10分以上的突破。该系统能自动生成超声报告、进行诊断分析和回答专业问题,为医生提供智能辅助,推动医疗AI向专业化发展。