请尽快升级,苹果 iPhone / iPad 被曝漏洞:可获取内核读写权限;全国正在爆发?10分钟被AI骗走430万!
2023-5-23 09:54:28 Author: 黑白之道(查看原文) 阅读量:29 收藏

请尽快升级,苹果 iPhone / iPad 被曝漏洞:可获取内核读写权限

IT之家 5 月 23 日消息,Jamf 威胁实验室近日发布博文,分享存在于 iPhone 上的 ColdInvite 漏洞,允许攻击者利用 iOS 系统中的已知 ColdIntro 漏洞。

安全研究人员 08tc3wbb 在分析 ColdIntro(追踪编号 CVE-2022-32894,苹果已经于去年修复)漏洞的时候,发现了一些“有趣而神秘”的信息,最终发现了 ColdInvite 漏洞(追踪编号 CVE-2023-27930)。
苹果去年发布了 iOS 15.6.1 更新,修复了 ColdIntro 漏洞。ColdIntro 漏洞是从显示协处理器 (DCP) 引入恶意代码到 AP 内核;而本次发现的 ColdInvite 漏洞是允许攻击者绕过 DCP,直接进入到 AP 内核。
攻击者虽然无法利用 ColdIntro 和 ColdInvite 漏洞完全接管设备,但可以利用协处理器获取内核的读 / 写权限,从而侵入设备产生更大的破坏力。

IT之家在此附上受影响的苹果产品列表如下:

  • ColdIntro: iPhone 6s 及更新机型、iPad Pro(所有机型)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型,以及安装了 iOS 15.6(及旧版 iOS)的 iPod touch(第 7 代)。

  • ColdInvite:iPhone 12(及后续机型),安装了 iOS 14 至 16.4.1 版本。

苹果日前发布的 iOS / iPadOS 16.5 更新已经修复了 ColdInvite 漏洞(追踪编号 CVE-2023-27930),推荐用户尽快升级。

全国正在爆发?10分钟被AI骗走430万!

今年是AI技术爆发的大年,全球很多公司都推出了类似ChatGPT的产品,此外还有一些视频生成、图片生成的AI产品,在某些方面已经足以替代人类。

然而,又被诈骗分子利用了。

AI诈骗正在全国爆发!一公司老板10分钟被AI诈骗430万

近日,包头警方发布一起利用人工智能(AI)实施电信诈骗的典型案例,福州市某科技公司法人代表郭先生10分钟内被骗430万元。

5月8日,包头市公安局电信网络犯罪侦查局发布一起使用智能AI技术进行电信诈骗的案件,警银联动成功紧急止付涉嫌电信诈骗资金330多万元。


4月20日11时40分左右,福州市某科技公司法人代表郭先生的好友突然通过微信视频联系到他,两人经过短暂聊天后,好友告诉郭先生,自己的朋友在外地投标,需要430万元保证金,且需要公对公账户过账,所以想要借用郭先生公司的账户走一下账。好友向郭先生要了银行卡号,声称已经把钱打到郭先生的账户上,还把银行转账底单的截图通过微信发给了郭先生。基于视频聊天信任的前提下,郭先生没有核实钱是否到账,于11时49分先后分两笔把430万元给对方打了过去。钱款转账后,郭先生给好友微信发了一条消息,称事情已经办妥。但让他没想到的是,好友回过来的消息竟然是一个问号。

郭先生拨打好友电话,对方说没有这回事,他这才意识到竟然遇上了“高端”骗局,对方通过智能AI换脸技术,佯装成好友对他实施了诈骗。

“从头到尾都没有和我提借钱的事情,就说会先把钱给我打过来,再让我给他朋友账户转过去,而且当时是给我打了视频的,我在视频中也确认了面孔和声音,所以才放松了戒备”,郭先生说。

4月20日12时21分,包头市电信网络犯罪侦查局接到福建省福州市公安局刑侦支队的外协请求,称福建省一知名民营企业负责人被骗走430万元,而涉案的银行卡为包头市蒙商银行对公账户,希望包头警方能够帮忙进行紧急止付。

包头市公安局电信网络犯罪侦查局立即启动“包头市警银联动绿色查询机制”,当班民警以最快速度完成核查、报审程序,第一时间将涉案卡的信息通报至蒙商银行相关部门。在银行的全力协助下,仅用时10分钟,就将该诈骗账户内的336.84万元被骗资金成功拦截。同时,向福州市公安局警方提供了剩余款项93.16万元资金流出信息,为深入突破该案剩余资金查找提供了突破方向。目前,福建警方与包头警方对此资金正在全力追缴当中。

警方提示:针对花样翻新的智能AI诈骗,公众要提高防范意识,不轻易提供人脸、指纹等个人生物信息给他人,不过度公开或分享动图、视频等;网络转账前要通过电话等多种沟通渠道核验对方身份,一旦发现风险,及时报警求助。如果有人自称“熟人”、“领导”通过社交软件、短信以各种理由诱导你汇款,务必通过电话、见面等途径核实确认,不要未经核实随意转账汇款,不要轻易透露自己的身份证、银行卡、验证码等信息。如不慎被骗或遇可疑情形,请注意保护证据立即拨打110报警。

AI技术改变诈骗,诈骗成功率接近100%

AI技术发展迅速,最近爆火的AI换脸,只需要提供一张带脸的照片,就可以把自己置换成视频、电视剧中的男(女)主角,而且拟真度非常高,毫无违和感。

有人把鹿晗的脸置换到刘亦菲扮演的“小龙女”角色中,就是下面这个效果。如果不是事先看过《神雕侠侣》,还以为就是本人呢。


再来看看AI诈骗常用手法

第一种:声音合成

骗子通过骚扰电话录音等来提取某人声音,获取素材后进行声音合成,从而可以用伪造的声音骗过对方。

某公司财务小王接到领导电话,要求立刻给供应商转款2万元,并将转账信息以邮件形式发送,转款理由是避免缴纳滞纳金。由于老板的口音十分逼真,小王信以为真,在1小时内转款完成,后发现被骗。

第二种:AI换脸

人脸效果更易取得对方信任,骗子用AI技术换脸,可以伪装成任何人,再通过视频方式进行信息确认,真是防不胜防!

骗子首先分析公众发布在网上的各类信息,根据所要实施的骗术,通过AI技术筛选目标人群。在视频通话中利用AI换脸,骗取信任。

小李的大学同学通过QQ跟她借钱。对方打过来一段四五秒的视频电话,小李看到确实是本人,便放心转账3000元。然而,她在第二次转账时感觉异常,便再次拨通对方电话,这才得知同学的账号被盗,遂报案。警方判断,那段视频很有可能是被人换了脸。

第三种:转发微信语音

骗子在盗取微信号后,便向其好友“借钱”,为取得对方的信任,他们会转发之前的语音,进而骗取钱款。

尽管微信没有语音转发功能,但他们通过提取语音文件或安装非官方版本(插件),实现语音转发。

文章来源 :IT之家、中国基金报

精彩推荐



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650570325&idx=1&sn=28a8a90fb23ffb746a673b89efb224a0&chksm=83bd1bb1b4ca92a718455354603f8f19e16d711ebf773e73062a4e56d59853b8418839a91e7b#rd
如有侵权请联系:admin#unsafe.sh