共同社报道，索尼承认，非接触式技术"FeliCa"逾18亿枚已出货芯片中，"已确认2017年以前出货的一部 分有漏洞，存在密码被破解的可能"。 FeliCa技术用于东日本铁路公司和西日本铁路公司等企业发行的交通卡，以及日本的政府机构、大学、 企业的人员身份卡和门禁卡等。 报道说，一旦这一漏洞遭利用，会扰乱交通网，损害公众对电子支付的信任，还可能导致敏感机构遭入 侵。一名业内人士说："这是极为严重的事态，动摇了对基础设施的信任。" 【新华社微特稿】日本索尼公司28日承认，在日本广泛用于交通卡和电子货币的索尼芯片存在安全漏 洞，有数据遭篡改风险。 共同社报道，上述漏洞由日本网络安全企业"未知技术"公司发现。该公司一个团队说，他们能够破解加 密系统，获取FeliCa安全管理密钥。该团队7月通过经济产业省下辖机构告知索尼，芯片存在安全漏 洞。索尼虽然在新版FeliCa技术中修复了漏洞，但由于新旧版本共用密钥，因此新版数据也有可能被篡 改。 "未知技术"公司团队说，FeliCa的加密方式比较旧，一直以来都有专家指出其强度不足，索尼本应更早 采取相应措施，包括改用其他加密方式。（完）（卜晓明） 索尼称尚未确认发生因芯片漏 ...

戴尔电脑Broadcom芯片安全漏洞事件 核心观点 - 戴尔商用电脑中使用的Broadcom BCM5820X系列芯片存在5个严重安全漏洞(CVE-2025-24311等)，可能允许攻击者接管设备、窃取密码及生物识别等敏感数据[2] - 受影响设备涉及数千万台搭载ControlVault3安全区域的戴尔Latitude和Precision系列商用电脑[2] - 戴尔已于6月13日向客户推送安全更新，但尚未发现漏洞被实际利用的案例[2][3] 漏洞技术细节 - 漏洞存在于ControlVault3硬件安全区域，该模块负责存储密码、指纹等生物识别数据及安全码[2] - CVE-2025-24919漏洞允许非管理员用户通过Windows API触发固件任意代码执行，进而窃取密钥或植入持久性后门[4] - 物理攻击者可通过USB直接访问USH板，绕过系统登录和全盘加密，且不会触发常规入侵警报[4] 受影响设备与行业 - 主要影响网络安全行业、政府机构及特殊环境使用的加固型笔记本电脑[3] - ControlVault3设备是智能卡/NFC安全登录的必要组件，因此在敏感行业渗透率较高[3] - 攻击者可篡改固件使指纹识别系统接受任意指纹，需在高风险场所禁用该功能[5] 厂商响应与缓解措施 - 戴尔通过安全公告DSA-2025-053披露受影响产品清单，并与固件供应商合作发布补丁[3] - CV固件更新可通过Windows Update自动部署，但戴尔通常会提前数周单独发布更新[5] - 建议用户及时应用安全更新并迁移至受支持的系统版本[3] 研究披露 - Talos研究员Philippe Laulheret将在Black Hat会议上详细披露漏洞利用方法[3] - 攻击演示视频显示漏洞可导致密钥泄露、固件篡改及持久性访问等后果[4]

蓝牙芯片漏洞事件 - 联发科旗下公司Airoha（达发）的蓝牙SoC产品存在多个安全漏洞，分别标记为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，攻击者无需身份验证即可通过蓝牙完全控制耳机设备[1] - 漏洞通过BLE GATT和蓝牙BD/EDR的RFCOMM通道暴露，允许未配对的攻击者读写设备的RAM和闪存，进而劫持配对的其他设备如手机[1] - 受影响的设备包括Bose QuietComfort耳塞、Marshall ACTION III、Sony Link Buds S等，涉及拜亚动力、马歇尔和索尼等供应商[2] 漏洞修复进展 - Airoha已在SDK中修复漏洞并提供新版本，但各供应商需自行构建固件更新并向终端用户分发补丁[2] - 截至研究发布时，尚未发现任何已修复的固件版本[2] - 研究人员暂未公开技术细节和PoC代码，但未来将披露更多信息[2] 其他半导体行业动态 - 半导体行业获得10万亿规模投资[4] - 多家芯片巨头市值出现大幅下跌[4] - HBM技术被评价为"技术奇迹"，RISC-V架构被预测将在竞争中胜出[4]