8月16日消息，今日抖音宣布为治理不实消息，正式上线溯源、打标等多项新功能。据悉，2022年以来，抖音已联合近百家媒体等机构处理319万条不实信息，打标存疑内容90万条。

抖音表示，还将与媒体等机构成立辟谣团，将联合组建治理不实信息平台，共同研判不实线索，传递权威真实信息。

抖音安全产品经理陈丹丹向网易科技等媒体介绍，平台不实信息主要包括虚假专业知识和社会新闻两大类，形成原因复杂，包括编造谎言、仿冒他人蹭热、以讹传讹、主观“臆测”及摆拍演绎被误以为真等情况。

资料图

陈丹丹表示，不实信息会严重损害公众的知情权，破坏健康和谐的生态氛围，也严重影响用户对平台的信任。因此，平台一直严厉、持续打击和治理不实信息。

为全面治理不实信息，抖音通过建立预警、分析、验真、标记、辟谣、拦截和提示七个步骤，并上线了溯源、打标、跳转等多种功能。

具体而言，对于不实消息，抖音通过用户反馈和内容分析提供的预警信号，对创作者和内容属性进行分析，并结合多平台信息进行溯源、验证真伪，一旦证实为不实信息，则快速辟谣，并拦截其进一步传播。对暂时无法核实又高度存疑的内容，则上线提示性文字提醒用户。

同时，抖音也上线了“打标”功能，对于演绎视频的创作者提供打标能力，让其主动说明视频属“演绎”，避免误解；对重大热点事件中的热点人物和易造成不实人设的道具，均上线了提醒功能，以防被仿冒或滥用。

数据显示，2022年以来，抖音上线了9项产品功能，平台对不实信息的研判和处置效率提升232%，对不实信息首发账号的溯源准确率接近80%。

“从预防到治理到拦截，平台以一己之力难以从根本上治理不实信息”，抖音生态产品经理李翔宇表示，治理不实信息，平台存在杜绝难、核实难、辟谣难等问题，同时如何让用户收到辟谣信息、信任信息并及时拦截传播阻止再次发酵，均具有一定难度。

“抖音愿与大家共建不实信息治理平台”，李翔宇表示，抖音正逐步开放溯源、核查、打标、推送等能力，与各方共建谣言库、联合研判不实信息线索、核实存疑内容，并合作传播权威真实信息。

目前，抖音已通过“辟谣团”形式与全国近百家媒体展开合作，发布辟谣视频300余条，播放量超5000万。

此外，抖音还与健康、财经、法律、科普等领域的专家或机构一起，展开“谣零零”辟谣活动、设置“辟谣专区”等板块。今年以来，抖音联手各方，共处理含有不实信息的视频319万条，另对90万条信息存疑但又暂时难以核实真伪的视频进行了打标提醒。

据BleepingComputer报道，近日安全分析师发现采用联发科芯片的小米智能手机的支付系统存在安全问题，这些智能手机依赖联发科芯片提供的负责签署交易的可信执行环境(TEE)。

攻击者可以利用这些漏洞使用第三方非特权应用程序签署虚假支付数据包。通俗来说，这意味着黑客可以将用户移动钱包中的钱转账到黑客账户中。

考虑到移动支付和小米手机的普及率，尤其是在亚洲市场，研究人员估计黑客有机会染指的资金规模达到数十亿美元。

2021年Check Point曾在联发科芯片的DSP固件中发现“窃听漏洞”，黑客可“零点击”攻击未安装安全更新的用户。而最近曝出的漏洞来自小米手机使用的与联发科芯片匹配的TEE可信执行环境架构——“Kinibi”，该架构在安卓操作系统环境中创建了一个单独的虚拟安全空间，用于存储签署交易所需的安全密钥。（编者：TEE安全空间通常托管一些重要的安全功能，例如硬件加密/密钥、DRM、移动支付、生物特征识别等）。

智能手机中常见的TEE有三大类：高通的QSEE/QTEE、华为的TrustedCore和Trustonic的Kinibi，后者主要应用于联发科和三星的手机芯片。

在采用联发科芯片的小米手机中，Kinibi运行着负责安全管理的小米“thhadmin”，以及“Tencent Soter”嵌入式移动支付框架，该框架为第三方应用程序提供API以集成支付能力。

拥有超过10亿用户的微信支付和支付宝等应用程序都依赖“Tencent Soter”API来验证支付数据包来进行安全的金融交易。

Check Point的安全研究人员发现，小米使用的可信应用程序文件格式存在一个漏洞——缺乏版本控制。这为降级攻击打开了大门，这意味着黑客可以用旧的易受攻击的版本替换新的更安全的应用程序。

研究人员在腾讯Soter可信应用程序中利用了另一个漏洞(CVE-2020-14125)，该漏洞允许攻击者在非特权用户的上下文中提取私钥并签署虚假支付数据包。

研究者成功绕过了小米和联发科的安全补丁，用MIUI 10.4.1.0中的应用程序覆盖MIUI 12.5.6.0上的“thhadmin”应用程序，开辟了许多利用可能性。

研究者使用以下Java代码在Soter应用程序中调用initSigh函数后，使用SoterService作为代理建立通信链接。

对于采用联发科芯片的小米手机的用户，6月份的Android安全更新非常重要，该更新修补了CVE-2020-14125漏洞。

Soter密钥泄漏的漏洞则属于第三方问题，小米已经确认供应商正在修复，未来应该会提供补丁。

如果用户无法完全禁用移动支付，请尽量减少手机上新装应用程序的数量，确保操作系统更新到最新版本，警惕所有短信中的链接（例如不存在的快递订单、核算相关通知等等），并使用可以检测和阻止可疑行为的手机安全软件。

参考链接：

https://research.checkpoint.com/2022/researching-xiaomis-tee/

文章来源：cnbeta.com;GoUpSec

最难就业季|“本想先读书躲一躲，谁料行情还不如两年前”