Специалисты по информационной безопасности из израильской компании Check Point обнаружили уязвимость в некоторых медиаплеерах, которая позволяет злоумышленнику получить доступ к удаленному рабочему столу без ведома пользователя. Об этом пишет «Медуза» со ссылкой на блог Check Point.
Некоторые существующие медиаплееры и приложения онлайн-кинотеатров поддерживают автоматическую загрузку субтитров для удобства пользователей. Субтитры — это текстовые файлы со специальной разметкой, которые, в отличие от исполняемых файлов, обычно не вызывают каких-либо подозрений и не рассматриваются в качестве угрозы. Однако обнаруженная специалистами Check Point уязвимость позволяет злоумышленнику получить полный доступ к компьютеру без ведома пользователя именно с помощью субтитров, подгружаемых программой для проигрывания видео.
Для того, чтобы уязвимость сработала, жертва должна использовать медиаплеер или приложение онлайн-кинотеатра, которое поддерживает автоматический поиск субтитров в открытых базах. Модифицированным субтитрам хакеры с помощью ботов могут накрутить рейтинг, чтобы приложения выводили их среди первых результатов поиска или даже подгружали автоматически. После того, как субтитры загружены, злоумышленник может подключиться к компьютеру жертвы.
Исследователи сообщают об уязвимости в медиаплеерах VLC и Kodi и приложениях онлайн-кинотеатров Popcorn Time и Stremio. При этом, по словам авторов, разработчики указанных программ уже устранили указанную уязвимость. Судя по демонстрационному видео, исследователи используют систему удаленного доступа VNC. По-видимому, обнаруженная уязвимость позволяет каким-то образом установить и запустить на компьютере жертвы серверную часть системы, чтобы злоумышленник мог подключиться к удаленному рабочему столу.
О том, как работает уязвимость, не сообщается даже общих деталей. Из описания непонятно, что должно произойти с файлом субтитров, чтобы злоумышленник мог воспользоваться уязвимостью. По словам представителей Check Point, они не публикуют подробностей, чтобы дать время разработчикам программного обеспечения для устранения уязвимости в своих продуктах. Стоит отметить, что такая уязвимость может касаться большого количества пользователей, но делает практически невозможным адресный взлом — злоумышленник может получать доступ только к случайным компьютерам, на которых программы загрузили вредоносные субтитры.
Это не единственный пример уязвимости с «неожиданной стороны». Так, в 2015 году была найдена возможность взломать почти любой Android-смартфон через MMS. Кроме того, скрытую угрозу также обнаружили в сервисах сокращения ссылок — сокращенные ссылки могут привести к утечке данных или к массовой загрузке вредоносного программного обеспечения на устройства пользователей.
Он показал лучшее время на трассе, обойдя соперников на полсекунды
Инженеры разработали автопилот для гоночного дрона, управляющий беспилотником на уровне лучших людей-пилотов. Алгоритм под названием Swift, полученный с помощью метода обучения с подкреплением, способен управлять гоночным квадрокоптером, полагаясь только на данные бортовых сенсоров. В реальных полетах на тестовой трассе для дрон-рейсинга Swift смог превзойти трех профессиональных пилотов-чемпионов, выиграв у них 15 гонок из 25 и пройдя трассу с минимальным временем, которое на полсекунды меньше лучшего результата пилота-человека. Статья опубликована в журнале Nature. При поддержке Angie — первого российского веб-сервера Дрон-рейсинг — вид спорта, в котором мультикоптеры на высокой скорости проходят трассу, состоящую из последовательности ворот, через которые нужно пролететь за минимально возможное время. При этом управление происходит от первого лица, с помощью камеры и видеоочков. Современные дроны обладают очень высокой маневренностью и подвижностью: они могут резко менять направление движения, ускоряться, замедляться и совершать перевороты, а во время гонки они разгоняются до скоростей свыше 100 километров в час и подвержены перегрузкам, превышающим их собственный вес в пять раз. Это делает их пилотирование непростой задачей и требует хорошей подготовки и высокой скорости реакции оператора. Инженеры давно работают над созданием автопилота, который мог бы управлять дроном на уровне профессиональных пилотов. Помимо участия в дрон-рейсинге такая способность может пригодиться и в обычной жизни — мультикоптеры обладают невысокой энергоэффективностью, поэтому способность быстро летать и успешно маневрировать в окружении большого числа препятствий напрямую связана с успешностью выполнения задач. Инженеры под руководством Давида Скарамузза (Davide Scaramuzza) из Цюрихского университета уже имеют опыт разработки эффективных алгоритмов управления для дронов. К примеру, ранее они создали автопилот, способный управлять квадрокоптером на скорости от 3 до 7 метров в секунду в лесу между деревьев, полагаясь только на данные с бортовых сенсоров. В своей новой работе инженеры представили алгоритм под названием Swift. Он способен эффективно управлять гоночным квадрокоптером на уровне профессионального пилота дрон-рейсинга. Swift состоит из двух основных модулей: системы восприятия, которая переводит изображение от бортовой камеры дрона и данные от инерционного измерительного блока IMU в низкоразмерное представление, а также системы управления, которая принимает на вход низкоразмерное представление, созданное системой восприятия, и генерирует управляющие команды для электромоторов дрона. В модуль системы восприятия также входит алгоритм, вычисляющий текущее положение дрона в пространстве на основе данных камеры и инерционно-измерительного блока. Эта информация через фильтр Калмана объединяется с данными об относительном положении гоночных ворот, обнаруженных предварительно обученным нейросетевым детектором объектов в видеопотоке, после чего передается на вход системы управления, которая состоит из двух скрытых слоев, по 128 нейронов в каждом. Система управления тренировалась в симуляции с использованием модельно-свободного глубокого обучения с подкреплением. Этот метод обучения использует метод проб и ошибок, чтобы максимизировать величину параметра вознаграждения. В данном случае вознаграждение было максимальным в случае, если дрон следовал в сторону центра ближайших ворот таким образом, чтобы следующие ворота оставались в поле зрения камеры. Чтобы учесть различия между симуляцией и реальной динамикой полета, в процессе обучения информацию симулятора дополнили данными из реального мира, записанными с помощью системы захвата движений. Оценку автопилота провели на трассе для дрон-рейсинга, состоящей из семи ворот, установленных на квадратной площадке с длиной стороны 30 метров. Длина маршрута через все ворота составляла 75 метров. Алгоритм соревновался с тремя профессиональными пилотами Алексом Вановером (Alex Vanover), Томасом Битматтой (Thomas Bitmatta) и Марвином Шэппером (Marvin Schaepper). Все участники использовали гоночные дроны с одинаковыми характеристиками. Перед испытательными соревнованиями у пилотов была неделя для знакомства с трассой. В соревнованиях каждый из пилотов стартовал одновременно с дроном под управлением автопилота. Победителем становился тот, кто быстрее пролетит через все ворота на трассе в правильном порядке три раза. По результатам Swift смог выиграть у своих соперников в совокупности 15 гонок из 25, а также установил рекорд трассы, пролетев ее быстрее на полсекунды, чем остальные участники. https://www.youtube.com/watch?v=fBiataDpGIo&t=1s Инженеры разрабатывают гоночные автопилоты и для автомобилей. Например, инженеры из подразделения искусственного интеллекта компании Sony создали алгоритм автопилота GT Sophy, который с помощью обучения с подкреплением научился проходить за минимальное время трассы в гоночном автосимуляторе Gran Turismo Sport. В настоящих киберспортивных соревнованиях GT Sophy не только показала лучшее время в одиночных заездах, но и смогла победить команду лучших игроков в совместных гонках, набрав больше всего очков.