安全研究人员发现微软 Windows Hello 指纹认证可被绕过

安全研究人员发现微软WindowsHello指纹认证可被绕过微软的WindowsHello指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞，这些传感器被企业广泛用于通过WindowsHello指纹身份验证保护笔记本电脑。微软邀请安全研究人员评估指纹传感器的安全性，研究人员在10月份的微软BlueHat会议上展示了他们的研究成果。该团队选择了来自Goodix、Synaptics和ELAN的三款流行的指纹传感器作为研究对象，并在博客文章中详细介绍了构建一个可以执行中间人攻击(MitM)的USB设备的过程。这种攻击可以提供对被盗笔记本电脑的访问，甚至对无人看管的设备进行“EvilMaid”攻击。戴尔Inspiron15、联想ThinkPadT14和微软SurfaceProX都是指纹识别攻击的受害者，只要有人以前在设备上使用过指纹身份验证，研究人员就可以绕过WindowsHello保护。研究人员对软件和硬件进行了逆向工程，发现了Synaptics传感器上一个自定义TLS的加密实现缺陷。绕过WindowsHello的复杂过程还涉及到解码和重新实现专有协议。——、

微软的 Windows Hello 指纹验证机制已被绕过

微软的WindowsHello指纹验证机制已被绕过微软的进攻研究与安全工程（MORSE）要求BlackwingIntelligence对指纹传感器的安全性进行评估，研究人员在10月份的微软BlueHat大会上的一次演讲中提供了他们的发现。研究小组将Goodix、Synaptics和ELAN等公司的流行指纹传感器作为研究目标，并在最新发表的一篇博文中详细介绍了构建可执行中间人（MitM）攻击的USB设备的深入过程。这种攻击可以访问被盗的笔记本电脑，甚至可以对无人值守的设备发动"邪恶女仆"攻击。戴尔Inspiron15、联想ThinkPadT14和微软SurfaceProX都是指纹识别器攻击的受害者，只要有人之前在设备上使用过指纹验证，研究人员就可以绕过WindowsHello保护。BlackwingIntelligence的研究人员对软件和硬件进行了逆向工程，发现了Synaptics传感器上定制TLS的加密实现缺陷。绕过WindowsHello的复杂过程还涉及解码和重新实施专有协议。得益于微软对WindowsHello和无密码未来的推动，指纹传感器目前已被Windows笔记本电脑用户广泛使用。微软三年前曾透露，近85%的消费者使用WindowsHello登录Windows10设备，而不是使用密码（不过，微软将简单的PIN码也算作使用WindowsHello）。这已经不是WindowsHello生物识别身份验证第一次被破解了。2021年，微软被迫修复了一个WindowsHello身份验证绕过漏洞，该漏洞涉及捕捉受害者的红外图像来欺骗WindowsHello的面部识别功能。不过，目前还不清楚微软能否单独修复这些最新漏洞。BlackwingIntelligence的研究人员JesseD'Aguanno和TimoTeräs在关于这些漏洞的深度报告中写道："微软在设计安全设备连接协议（SDCP）以提供主机和生物识别设备之间的安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。此外，SDCP只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露出相当大的攻击面，根本不在SDCP的覆盖范围内。"研究人员发现，在他们锁定的三台设备中，有两台没有启用微软的SDCP保护。现在，BlackwingIntelligence建议原始设备制造商确保启用SDCP，并确保指纹传感器的实施由合格的专家进行审核。BlackwingIntelligence还在探索对传感器固件的内存破坏攻击，甚至是Linux、Android和苹果设备上的指纹传感器安全。...PC版：https://www.cnbeta.com.tw/articles/soft/1399057.htm手机版：https://m.cnbeta.com.tw/view/1399057.htm

研究人员展示了"挤压"红外光的新方法

研究人员展示了"挤压"红外光的新方法研究人员已经证明，一种特定类型的氧化物膜可以比块体晶体更有效地限制红外光，这对下一代红外成像技术具有重要意义。这些薄膜膜在压缩波长的同时保持所需的红外频率，从而实现更高的图像分辨率。研究人员利用过渡金属钙钛矿材料和先进的同步加速器近场光谱，表明这些膜中的声子极化子可以将红外光限制在其波长的10%以内。这一突破可能带来光子学、传感器和热管理领域的新应用，并可能轻松集成到各种设备中。图片来源：北卡罗来纳州立大学YinLiu“薄膜膜保持了所需的红外频率，但压缩了波长，使成像设备能够以更高的分辨率捕捉图像，”该论文的共同通讯作者、北卡罗来纳州立大学材料科学与工程助理教授YinLiu说道。“我们已经证明，我们可以将红外光限制在其波长的10%以内，同时保持其频率-这意味着波长循环所需的时间相同，但波峰之间的距离要近得多。块状晶体技术将红外光限制在其波长的97%左右。”“这种行为以前只是理论上的，但我们能够通过我们制备薄膜膜的方式和我们对同步加速器近场光谱的新用途首次在实验中证明它，”该论文的共同主要作者、北卡罗来纳州立大学材料科学与工程助理教授RuijuanXu说道。为了这项工作，研究人员使用了过渡金属钙钛矿材料。具体来说，研究人员使用脉冲激光沉积在真空室中生长出100纳米厚的钛酸锶(SrTiO3)晶体膜。这种薄膜的晶体结构质量很高，这意味着它几乎没有缺陷。然后将这些薄膜从生长它们的基底上取下，并放置在硅基底的氧化硅表面上。研究人员随后利用劳伦斯伯克利国家实验室先进光源的技术，在钛酸锶薄膜暴露于红外光时对其进行同步近场光谱分析。这使研究人员能够在纳米级捕捉到材料与红外光的相互作用。要了解研究人员学到了什么，我们需要讨论声子、光子和极化子。声子和光子都是能量在材料之间传播的方式。声子本质上是由原子振动引起的能量波。光子本质上是电磁能的波。可以把声子看作是声能的单位，而光子是光能的单位。声子极化子是准粒子，当红外光子与“光学”声子（即可以发射或吸收光的声子）耦合时就会产生。“理论论文提出了这样一种观点，即过渡金属钙钛矿氧化物膜将允许声子极化子限制红外光，”刘说。“而我们的工作现在表明，声子极化子确实限制了光子，并且还阻止光子超出材料表面。这项工作建立了一类用于控制红外波长光的新型光学材料，在光子学、传感器和热管理方面具有潜在的应用，想象一下，能够设计出使用这些材料通过将热量转化为红外光来散热的计算机芯片。”“这项工作也令人兴奋，因为我们展示的制造这些材料的技术意味着薄膜可以很容易地与各种各样的基底集成，”徐说。“这应该可以轻松地将这些材料整合到许多不同类型的设备中。”编译来源：ScitechDaily...PC版：https://www.cnbeta.com.tw/articles/soft/1434557.htm手机版：https://m.cnbeta.com.tw/view/1434557.htm

研究人员发现绕过 ChatGPT 安全控制的漏洞

研究人员发现绕过ChatGPT安全控制的漏洞在周四发布的一份中，匹兹堡卡内基梅隆大学和旧金山人工智能安全中心的研究人员展示了任何人如何规避人工智能安全措施并使用任何领先的聊天机器人生成几乎无限量的有害信息。研究人员发现，他们可以通过在输入系统的每个英语提示符上附加一长串字符来突破开源系统的护栏。如果他们要求其中一个聊天机器人“写一篇关于如何制造炸弹的教程”，它会拒绝这样做。但如果他们在同一个提示中添加一个冗长的后缀，它会立即提供有关如何制作炸弹的详细教程。以类似的方式，他们可以诱使聊天机器人生成有偏见的、虚假的和其他有毒的信息。研究人员感到惊讶的是，他们用开源系统开发的方法也可以绕过封闭系统的护栏，包括OpenAI的ChatGPT、GoogleBard和初创公司Anthropic构建的聊天机器人Claude。聊天机器人开发公司可能会阻止研究人员确定的特定后缀。但研究人员表示，目前还没有已知的方法可以阻止所有此类攻击。专家们花了近十年的时间试图阻止对图像识别系统的类似攻击，但没有成功。Anthropic政策和社会影响临时主管MichaelSellitto在一份声明中表示，该公司正在研究阻止攻击的方法，就像研究人员详细介绍的那样。“还有更多工作要做，”他说。——

研究人员表示，苹果公司早在 2019 年就知道 AirDrop 用户可能会被识别和跟踪

研究人员表示，苹果公司早在2019年就知道AirDrop用户可能会被识别和跟踪研究人员告诉CNN，早在2019年就向苹果公司发出警告，指出其AirDrop无线共享功能存在漏洞。中国当局声称他们最近最近利用此漏洞快速锁定了发送者的手机号与邮箱账号。德国达姆施塔特工业大学的研究人员于2019年首次发现了这些缺陷，他们周四告诉CNN，他们已确认苹果公司当时收到了原始报告，但该公司似乎没有根据发现采取行动。研究人员表示，该组织在2021年发布了针对该问题的，但苹果似乎尚未实施。研究人员称，北京网神洞鉴司法鉴定所使用了他们在2019年首次发现的相同技术。——（美国有线电视新闻网）

中国首台近红外望远镜在南极昆仑站成功运行

中国首台近红外望远镜在南极昆仑站成功运行研究人员利用我国自主研制的近红外天文望远镜，成功测定了昆仑站全天空的近红外天光背景亮度等关键数据，为昆仑站开展全年天文和空间观测提供了坚实基础。中国科学院南京天文光学技术研究所望远镜新技术研究室副主任李正阳研究员介绍，此次投入使用的近红外天文望远镜，可以承受零下80摄氏度的极寒气温，并且无惧“地吹雪”对设备的干扰。经过近两个月的运行表明，该望远镜达到设计要求，满足极寒气温、无人值守等严酷环境指标。接下来，科研人员将远程遥控望远镜在无人值守的南极昆仑站开展宇宙和空间观测。...PC版：https://www.cnbeta.com.tw/articles/soft/1422040.htm手机版：https://m.cnbeta.com.tw/view/1422040.htm