硬核观察 #443 研究人员在源代码中隐藏人眼看不见的漏洞

文章图片
研究人员在源代码中隐藏人眼看不见的漏洞

文章图片
剑桥大学的研究人员发表论文，介绍了在源代码中隐藏人眼看不见的漏洞的攻击方法。这种被称为Trojan-Source的攻击方法利用了Unicode中的特殊字符，通过方向覆盖、同形异义等方法创造出对编译器和人类视觉上存在差异的源代码。人眼看不出漏洞，但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对大多数主流编程语言都有效，研究人员已经将漏洞报告给了相关项目。
老王点评：“眼见并不为实” ，这个锅一方面是Unicode无克制的增加各种奇怪字符和控制字符导致的，另外一方面也是传统上面对ASCII字符的编程语言支持Unicode时没有预料到这种恶意利用。
美国航空机构与电信机构因5G发生争执

文章图片
美国联邦航空管理局正准备向飞行员和航空公司发出警告，指出一项新的5G无线服务可能会干扰飞机驾驶舱安全系统、自动化系统，该服务将于12月初上线。美国联邦通信委员会则对安全问题进行了反驳，称在审查了对航空安全的潜在影响后，于2020年初制定了频谱使用规则，现有证据不支持5G网络会干扰航空安全的结论。双方争论的核心问题是无线电频谱在3.7到4.2GHz之间的波段。该波段非常适合5G网络传输，并且已经服务于一些国家的手机网络中。而航空设备则工作在4.2至4.4GHz的附近频段，因此，美国联邦航空管理局觉得增加了干扰的可能性。
【硬核观察 #443 研究人员在源代码中隐藏人眼看不见的漏洞】老王点评：说到底，还是频谱之争。
蓝牙标签被用来跟踪被盗物品

文章图片
今年4月，苹果公司发布了29美元的AirTag ，为更广泛的受众带来了更有效的蓝牙跟踪技术。虽然苹果公司从没有说过AirTag可被用于追回被盗财产，但实际上该公司建立了一个非常适合此类用例的网络。每一款兼容的iPhone、iPad和Mac都被默默地用作定位设备， AirTag使用蓝牙向最近的Apple设备发送带有其加密位置的ping ，这些设备将信息传递到苹果的FindMy网络。兼容Apple设备有近10亿台，使得FindMy非常有效，尤其是在城市中。
老王点评：从技术上来说，是一个非常有用的进步，但是如何避免被滥用是个问题。