随着全球手机数量持有数量达到30亿 ,手机已经成为每个人日常生活中不可或缺的重要部分。
面对日益增长的手机市场,相关厂商竞相推出新机型、新功能以及新创新技术。为了支持大规模创新,他们通常依靠第三方来提供所需的移动基础架构、硬件甚至软件,其中最常见的一种第三方解决方案是数字信号传感器(通常称为 DSP)。
在被Check Point命名为“阿喀琉斯”研究项目中,安全专家对最大的 DSP 芯片制造商之一高通科技进行了广泛的安全评估。高通主营芯片业务,占有超过 40% 的手机芯片市场份额,客户包括 Google、三星、LG、小米和 OnePlus 等高端手机厂商。
经过一系列缜密测试,Check Point研究人员在 DSP 芯片中发现了超过 400 个代码漏洞,这些漏洞可能对手机用户产生以下影响:
Check Point已向高通公司披露了这些研究结果(高通方面业已确认),同时通知相关厂商并为其提供了相应的 CVE,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。
重要说明
在手机厂商针对上述潜在风险开发出全面的解决方案之前,Check Point Research 暂不发布这些漏洞的完整技术细节。除了上报相关政府机构外,Check Point还及时通知了共同合作开展此研究的手机厂商,以协助他们提高手机的安全性。完整研究细节已披露给这些利益相关者。
Check Point Research 致力于提高全球技术和产品的安全性,并与任何有合作意向的安全厂商开展合作。为了防患未然,Check Point公司为可能受这些风险影响的组织提供了 20 个 SandBlast Mobile 移动管理设备免费许可,以免他们在发表本研究报告后的 6 个月内受到任何潜在的损害。
什么是 DSP?
DSP(数字信号处理器)是一个由硬件和软件组成的片上系统,旨在优化和支持设备的各项使用功能,包括:
简而言之,您可以将其视为一个单芯片计算机,几乎任何现代手机都包含至少一个这样的芯片。
一个 SoC(片上软件)可能具有支持日常手机使用的各个功能,例如图像处理、计算机视觉、与神经网络相关的计算、摄像头流传输、音频和语音数据。此外,手机厂商可以选择性地使用这些“微型计算机”来插入自己的功能,并将这些功能作为专用应用运行在现有框架之上。
新型攻击媒介
虽然 DSP 芯片提供了一种相对经济的解决方案,支持为手机用户提供更多功能和创新特性,但也要求付出的一定的代价。这些芯片为移动设备带来了新的攻击面和漏洞。DSP 芯片之所以更容易遭到攻击,是因为对除了制造商之外的任何其他人来说,检查 DSP 芯片设计、功能或代码都是一件极为复杂的事,因此他们通常将其作为“黑匣子”来管理。
我们的应对之计
Check Point Research 认为,这种生态系统可能对重大漏洞毫无招架之力,一旦遭到攻击,全球数百万用户都会遭殃。而修复这些漏洞需要协调厂商、制造商和经销商进行多次沟通。鉴于此,我们决定对当今最常用的芯片之一高通骁龙进行详细的评估和深入的安全调查。
由于 DSP 芯片具有“黑匣子”性质,手机厂商很难修复漏洞,这些问题需要先由芯片制造商来解决。我们利用有效的研究方法和先进的模糊测试技术克服了这些问题,获得了有关 DSP 芯片内部情况的罕见洞察,进而有效评估了芯片的安全控制,并确定了其薄弱之处。
威胁情报社区的先锋
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。
Check Point安全专家希望这项研究能够帮助 DSP 芯片生态系统建立更优越、更安全的环境,并为安全社区提供定期检查芯片安全状态的必要知识和工具,从而增强移动设备的安全性。
Check Point Research 具有市场上最高的威胁捕获率,可帮助组织抵御恶意软件、网络钓鱼、中间人攻击和操作系统漏洞利用程序等威胁。同时,我们强烈建议组织使用移动安全解决方案保护移动设备上的公司数据。SandBlast Mobile 可提供实时威胁情报和移动威胁可视性,以防它们对业务造成影响,同时也可针对本文提到的高通漏洞提供全面的保护。
好文章,需要你的鼓励
Docker公司通过增强的compose框架和新基础设施工具,将自己定位为AI智能体开发的核心编排平台。该平台在compose规范中新增"models"元素,允许开发者在同一YAML文件中定义AI智能体、大语言模型和工具。支持LangGraph、CrewAI等多个AI框架,提供Docker Offload服务访问NVIDIA L4 GPU,并与谷歌云、微软Azure建立合作。通过MCP网关提供企业级安全隔离,解决了企业AI项目从概念验证到生产部署的断层问题。
中科院联合字节跳动开发全新AI评测基准TreeBench,揭示当前最先进模型在复杂视觉推理上的重大缺陷。即使OpenAI o3也仅获得54.87%分数。研究团队同时提出TreeVGR训练方法,通过要求AI同时给出答案和精确定位,实现真正可追溯的视觉推理,为构建更透明可信的AI系统开辟新路径。
马斯克的AI女友"Ani"引爆全球,腾讯RLVER框架突破情感理解边界:AI下半场竞争核心已转向对人性的精准把握。当技术学会共情,虚拟陪伴不再停留于脚本应答,而是通过"心与心的循环"真正理解人类孤独——这背后是强化学习算法与思考模式的化学反应,让AI从解决问题转向拥抱情感。
PyVision是上海AI实验室开发的革命性视觉推理框架,让AI系统能够根据具体问题动态创造Python工具,而非依赖预设工具集。通过多轮交互机制,PyVision在多项基准测试中实现显著性能提升,其中在符号视觉任务上提升达31.1%。该框架展现了从"工具使用者"到"工具创造者"的AI能力跃迁,为通用人工智能的发展开辟了新路径。