IT之家 6 月 7 日消息,安全研究员拉斯穆斯・莫拉茨于 6 月 3 日发布博客文章称,他证实创新科技(Creative)的 Sound Blaster Katana V2X 游戏回音壁存在安全漏洞:攻击者在约 15 米范围内,无需设备配对、无需物理接触,就能通过蓝牙劫持这款设备。 该设备的蓝牙接口未设置身份验证,且固件未做签名校验。攻击者可利用这两点远程刷入自定义固件,将这款通过 USB 连接电脑的音响伪装成键盘,向主机电脑自动输入指令。研究员通过新加坡国家网络安全应急团队联系到创新科技后,对方耗时近两个月才作出回复,并判定该问题不属于安全隐患,这款售价约 280 美元(IT之家注:现汇率约合 1902 元人民币)的回音壁至今未获得官方修复补丁。 Katana V2X 通过一套自研协议与创新科技桌面客户端通信,莫拉茨将其命名为创新传输协议(CTP)。该音响通过 USB 接收指令时,会先执行质询 - 应答握手验证;但在低功耗蓝牙模式下,同一套协议会绕过身份验证与配对流程,直接接收指令。这意味着范围内的任意设备都能读取、修改音响设置,或是推送固件。此外,这款设备的固件仅附带 SHA-256 校验值,并无加密签名,莫拉茨修改固件镜像后,可重新生成校验值绕过检测。 为实现恶意利用,他修改了音响的 USB 描述符。该设备原本仅支持基础媒体控制,修改后会向电脑伪装成键盘。设备固件基于改版的实时操作系统 FreeRTOS 运行,莫拉茨并未额外编写按键注入代码,而是改写了系统中一项闲置的诊断任务:设备每次开机、USB 模块启动后,就会自动输入并执行指令。他制作的概念验证程序会输出指令 echo pwned,而利用同一套逻辑,攻击者还可以调出微软 PowerShell,并粘贴执行恶意单行代码。 将正常 USB 外设篡改伪装成键盘,正是 BadUSB 攻击的核心原理。早在 2014 年,卡斯滕・诺尔与雅各布・莱尔就在黑帽安全大会上展示了该攻击手段,并警告称当时绝大多数 USB 控制器出厂时都未开启固件真伪校验。 传统 BadUSB 攻击需要使用者主动接入篡改后的设备,而莫拉茨此次突破了这一限制:受害者使用的仍是自己原本信任的硬件,攻击者仅需在房间另一端远程篡改设备即可。多年来,多款民用数码产品都出现过类似安全问题,比如联网床具的固件漏洞会泄露用户家庭网络信息,还有蓝波(BlueBorne)漏洞,可让攻击者无需配对就能控制各类蓝牙设备。 莫拉茨表示,整个研究过程中最难的环节是联系设备厂商创新科技 —— 该公司仅提供在线客服表单这一种沟通渠道。他两次自行反馈均无果后,转而通过新加坡网络安全应急响应中心(SingCERT)上报问题,而该机构同样迟迟没能得到厂商回应。 据莫拉茨描述,创新科技最终给出的答复是:“我们不认为这属于安全漏洞,该问题不会引发网络安全风险。”无奈之下,莫拉茨只能自行推出工具:该工具可下载官方固件、封堵蓝牙端的创新传输协议漏洞,并通过 USB 重新刷写设备固件。不过这套修复方案大概率会导致创新科技移动端 APP 无法正常使用,同时莫拉茨也提到,在没有厂商源代码的前提下,很难为蓝牙协议补上正规的身份验证机制。另外,这款音响即便进入休眠模式,蓝牙功能也会持续开启,且没有可以手动关闭的明显选项。
IT之家 5 月 20 日消息,索尼漫威《暗影蜘蛛侠》新剧放出了终极预告,照例一式黑白 / 全彩两份。本剧将于 2026 年 5 月 25 日登陆 MGM+ 电视频道, 后续还将在 5 月 27 日上线 Prime Video 。 本剧由《蜘蛛侠:平行宇宙》(2018)制作人 Phil Lord、Christopher Miller 和 Oren Uziel 打造。影片背景将设定在“20 世纪 30 年代”,主角是“纽约市一位年长、头发花白的超级英雄”而非彼得・帕克。同时,在《蜘蛛侠:平行宇宙》中为暗影蜘蛛侠配音的尼古拉斯 · 凯奇将参与主演。 本片设定在独立宇宙里,聚焦 1930 年代纽约城的一个上了年纪、倒霉透顶的私家侦探,作为这个城市里唯一的超级英雄,他被迫与过去的生活作斗争。 亚马逊 Prime Video 已确认本剧将推出彩色 / 纯正黑白两个版本。值得一提的是,《暗影蜘蛛侠》在影视、漫画作品中的常态表现形式为黑白画风,因此该蜘蛛侠对颜色不熟悉。有趣的是,在多元宇宙相关剧情中,暗影蜘蛛侠很喜欢玩魔方。 IT 之家小伙伴记得用 最会买购买电影票 ,享受折扣价的同时还可以获得返利,预计每张票可以节省 5~15 元!
感觉三百多的价格也不便宜了 本来想买官网的magsafe 但是听说好像充的很慢还会发烫 5 个帖子 - 2 位参与者 阅读完整话题
IT之家 5 月 14 日消息,图拉斯旗下大眼仔屏显充电器现已在京东发售,标准价 338 元, 到手价低至 227.8 元 。 该产品可选黑白黄三种配色,整体延续大眼仔系列的类家庭摄像头圆柱形设计,配有一块圆形彩色面板可显示表情、充电机型、功率协议信息,使用可折叠插脚。 该产品正面配备单 USB-C 输出接口,最大可支持 PD 60W 输出功率,同时具备 AVS 可调电压协议,可支持最新款 iPhone 机型 45W 快充输出。 IT之家附产品参数如下: 京东 图拉斯大眼仔屏显充电器 227.8 元 直达链接 京东 618 无门槛红包 面额至高 26618 元,每天抽 3 次: 点此抽红包 淘宝 618 无门槛红包 面额至高 26888 元,每天抽 1 次: 点此抽红包
阿拉斯加州 (Alaska) (人口太少了,容易被风控) 特拉华州 (Delaware) 蒙大拿州 (Montana) 新罕布什尔州 (New Hampshire) 俄勒冈州 (Oregon) 以上免消费税,建议收藏。 5 个帖子 - 5 位参与者 阅读完整话题
IT之家 5 月 9 日消息,图拉斯现已在京东上架大眼仔屏显充电器,将于 5 月 10 日(明天)开启预约,5 月 13 日正式发售,首发价 338 元,首发到手价低至 227.8 元。 京东 图拉斯大眼仔屏显充电器 227.8 元 直达链接 该产品可选黑白黄三种配色,整体延续大眼仔系列的类家庭摄像头圆柱形设计,配有一块圆形彩色面板可显示表情及充电机型信息。 该产品正面配备单 USB-C 输出接口,最大可支持 PD 60W 输出功率,同时具备 AVS 可调电压协议,可支持最新款 iPhone 机型 45W 快充输出。
IT之家 4 月 19 日消息,根据特斯拉官方社交媒体发布的消息,该公司正将其 Robotaxi 无人驾驶出租车服务拓展至达拉斯和休斯顿。 IT之家注意到,该帖子仅简单写道:“Robotaxi 现已在达拉斯和休斯顿推出🤠”,并附带一段 14 秒的视频,视频中特斯拉车辆在驾驶座无人监控、无人驾驶的情况下自动行驶。 继去年在奥斯汀推出服务、并于 2026 年 1 月开始提供无安全驾驶员的乘车服务后,特斯拉目前已在三座城市运营 Robotaxi 业务,且这三座城市均位于得克萨斯州。在 2 月份提交的一份文件中,特斯拉表示,其奥斯汀无人驾驶出租车自上线以来已发生 14 起碰撞事故。 此外,特斯拉还在旧金山湾区提供配备人类驾驶员、规模更为有限的乘车服务。 目前特斯拉在这两个新市场投入运营的车辆数量可能并不多,据无人驾驶出租车追踪网站的众包数据显示,达拉斯和休斯顿各仅有一辆登记车辆,而奥斯汀则记录有 46 辆在运营车辆。
4月19日,据外媒TechCrunch报道,特斯拉官方通过社交媒体宣布,其Robotaxi出租车服务正式拓展至达拉斯和休斯顿两座城市,标志着该服务的覆盖范围进一步扩大,目前已在美国得克萨斯州三座城市落地运营。(环球网科技)