騰訊安全玄武實驗室和浙江大學的安全研究人員最近在Arxiv上發表一篇論文,說明了一種名爲BrutePrint的攻擊方案
BrutePrint攻擊方案使用漏洞在目標設備上進行無限次的指紋圖像比對,在3到14小時內破解驗證系統接管目標設備
據研究,這種攻擊方案只對安卓和鴻蒙系統有效,蘋果的iOS系統設置了指紋驗證的爆破保護措施,因此無法被破解
這篇論文的重點不僅在於安卓和鴻蒙系統的安全保護問題,還在於一旦用戶的生物特徵信息泄露,會帶來潛在危害
研究人員發現部分指紋傳感器的串行外設接口上的生物識別數據沒有得到充分保護,導致中間人可以發起攻擊
攻擊者可以劫持指紋圖像信息,且在受測試的設備沒有對指紋驗證進行限制,因此可以進行無限次驗證
研究人員還發現了名爲Cancel-After-Match-Fail和Match-After-Lock的兩個未修復的漏洞無限次驗證通常被稱爲暴力破解,攻擊者可以從已泄露的生物特徵數據庫中無限次進行指紋比對生物特徵信息(如面部特徵、指紋、掌紋、聲紋等)一旦泄露,存在安全風險,因爲無法修改
研究人員的測試發現,除了蘋果的iPhoneSE和iPhone7(運行iOS 14.5.1版)之外,10臺設備均成功被破解。被破解的安卓設備搭載了光學傳感器、電容傳感器和超聲波傳感器,而這些傳感器都存在安全缺陷。攻擊者可以使用這些漏洞來劫持指紋圖像信息,從而繞過生物識別驗證系統。對於蘋果設備,研究人員未成功破解,因爲這些設備在安全方面採取了更嚴格的措施
發起攻擊首先要準備一個串口設備(約100元),這個串口設備需要連接到目標設備,其次需要準備好數據庫
學術用途的數據集或泄露的數據庫是指紋數據庫的來源之一,泄露的數據庫通常在互聯網上公開發布,完成準備工作後,可以連接設備啓動攻擊通過使用漏洞來繞過安全保護,可以無限次地提交指紋進行比對
雖然這個過程可以說是簡單,但研究人員還會使用神經網絡來分析指紋數據庫,對這些指紋圖像進行多次編輯以進行比對
除了硬件方面,研究人員還編寫了多種算法進行嘗試,以通過無限次的指紋比對來找到正確的指紋解鎖手機的方法
爲什麼蘋果設備無法被破解呢?原因在於研究人員無法繞過蘋果設備的指紋提交次數限制,一旦超過限制次數,設備就會被鎖定,無法再次提交指紋,需要輸入密碼才能解鎖,蘋果也會限制密碼提交次數,錯誤次數過多,延長驗證時間
爲了方便日常使用,一般用戶通常會錄入多個指紋,從暴力破解的角度來看,錄入的指紋越多,越容易受到破解的風險就越大
當只錄入一個指紋時,暴力破解需要用2.9到13.9小時,而當錄入兩個以上的指紋時,暴力破解只需要0.66到2.78小時,這是因爲隨着錄入指紋數量的增加,生成用於比對的指紋圖像數量呈指數級增長,因此實際的破解速度要比只有單一指紋時快得多
相關漏洞是否容易被修復還是一個未知數,未來傳感器製造商需要努力進行校驗,以避免被繞過提交限制,確保系統的安全性
此外,谷歌爲自家的安卓應用推出了漏洞獎勵計劃,以鼓勵主動發現漏洞,最高獎勵21萬元
谷歌在本月中旬更新了安卓漏洞獎勵計劃,今天爲自家部分安卓應用推出了新的漏洞獎勵計劃,鼓勵安全研究人員檢測這些應用是否存在安全漏洞
該新計劃被稱爲移動VRP(MobileVulnerabilityRewardProgram)谷歌,研究人員可以通過發現和修復移動應用程序的安全漏洞來參與移動VRP計劃,這些應用程序都是谷歌自家的應用程序,且預裝在安卓設備上
涉及應用包括:
谷歌PlayServices(com.google.android.gms)
AGSA(com.google.android.googlequicksearchbox)
谷歌Chrome(com.android.chrome)
谷歌Cloud(com.google.android.apps,cloudconsole)
Gmail(com.google.android.gm)
ChromeRemote桌面(com.google.chromeremotedesktop)
谷歌針對移動VRP漏洞獎勵計劃,具體的獎勵漏洞類型和操作的不同分爲四個檔位,最高檔位是0click,即無需用戶交互即可遠程執行任意代碼的漏洞,該漏洞獎勵可達210000元。其他三個檔位分別是用戶點擊一個使用易受攻擊的應用的鏈接(獎勵最高150000元)、用戶惡意應用或以非默認方式配置目標應用(獎勵最高40000元)以及攻擊者和受害者在同一個網絡MiTM中間人攻擊(獎勵最高10000元)
谷歌希望研究人員能夠積極參與,減少第一方安卓應用程序的漏洞,以確保用戶及數據的安全
此外,英特爾推出Auroragen AI,帶有1萬億參數的生成式AI模型
2Exaflops浮點性能的Aurora超級計算機已經打造好,該電腦用於爲AuroragenAI模型提供計算,在今天的ISC23中,AuroragenAI模型在通用文本、科學文本、科學數據和與該領域相關的代碼上進行訓練,是純粹以科學爲中心的生成式AI模型
英特爾AuroragenAI模型的基礎是Megatron和DeepSpeed。新模型的目標大小是1萬億個參數,免費公共版就是這個大小,相比之下,ChatGPT僅爲1.75億參數,相比之下數量增加了5700倍
此外,英特爾推出支持R-Tile、PCIe 5.0和CX2級.0的Agilex7M系列FPGA
英特爾今天推出Agilex7M系列FPGA,在10nm++ SuperFin節點上製造,隨着網絡、數據中心、高性能計算(惠普C)雲計算和應用程序的協處理器的需求不斷增長,英特爾開始提供比以往更高的靈活性(主要是由於FPGA固有的可編程特性)和更高的擴展能力,英特爾的Agilex7 FPGA引入了一個新的小芯片作爲異構多芯片架構的一部分,即R-Tile,它負責在硬件加速、硬編碼的塊中提供連接技術—即PCIe 5.0和CXL支持
英特爾最新推出的異構R-Tile小芯片備受關注,該芯片是唯一通過PCI-SIG 5.0x16數據速率認證的FPGA系列,這次英特爾與FPGA開發商Xilinx合作是一個例子,顯示出了英特爾在競爭中取得勝利
英特爾正在加倍努力把FPGA和CPU分開,作爲早期進入集成領域的AMD在解決這個問題方面表現得比英特爾更加自信,計劃在今年早些時候FPGA功能整合到霄龍CPU中,以加強兩家之間的競爭,AMD也在考慮類似小芯片的集成技術應用,不論是通過3D堆疊垂直集成還是FPGA獨立整合到單個芯片中
FPGA的優勢在於固有的靈活性,開發人員可以快速迭代電路佈局和處理塊,使FPGA適應特定的工作負載。作爲一種專業硬件,FPGA可用於加速不依賴於CPU的工作負載,從而釋放CPU資源用於特定任務,而不是使用低效的通用處理能力,尤在基於雲的虛擬機環境中
英特爾的R-Tile芯片主要負責處理PCIe 5.0和CXL1.1/2.0協議的硬件加速塊,引入Agilex 7 FPGA系列,提高能效和數據浮點性能,降低高性能總成本(TCO),在做出這些選擇時,總是需要在性能和功耗之間權衡取捨。英特爾正在向中添加固定功能的硬件塊,而FPGA的可編程性則是FPGA玩家的關鍵優勢
英特爾的目標是減輕CPU的負載,同時提供更高的性能,滿足這個需求的答案不是把CPU功能移至FPGA,而是通過增加可用的CPU資源數量來實現,這可以通過增加更多的CPU或額外的CPU核心來實現,英特爾的Agilex7M系列專爲英特爾的第4代可擴展至強處理器進行了優化,但在任何情況下,它都不是核心數量最多的CPU
英特爾已經有了答案,這就是爲什麼它推出Agilex7,英特爾的答案是通過CPU開銷轉移到FPGA封裝上來消除,這樣做的目的是實現最佳的性能功耗比,以減少高TCO成本,爲目標通過CPU開銷轉移到FPGA,英特爾希望實現性能的最佳化,用於更加有效的地方。這種舉措可以使英特爾從中受益,因爲它關注的是自身的效率問題,也涉及成本問題
在這方面,英特爾的嵌入式多芯片互連橋(EMIB)起到了重要的作用,EMIB是一種不同處理模塊粘合在一起的技術,它允許英特爾在製造層面上進一步分離這些模塊,提高芯片的裸片效率,降低整體單晶圓成本以及單芯片成本
從理論上來說,它也降低了成本,英特爾的夢想是能夠混合搭配不同的硬件塊,無論是同一供應商還是多個供應商和製造工藝,只需爲實際使用的硅和規格付費從某種意義上來每個芯片都可以看作是一個FPGA
綜上所述,搭載R-Tile的Agilex7是英特爾的一種新型FPGA,因爲它是英特爾代工服務(IFS)目錄新無論以何種方式,這都推動英特爾朝着它所追求和需要的方向發展這無疑是一個積極的發展
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
