Geopolitické hry

Americké policajné zložky platia státisíce dolárov spoločnosti Massive Blue za neverejnú technológiu, ktorá využíva online persóny generované umelou inteligenciou na interakciu a zhromažďovanie spravodajských informácií o vysokoškolských protestujúcich, politických aktivistoch či obchodníkoch s drogami a ľuďmi.

Check Point Research monitoroval phishingovú kampaň proti diplomatickým entitám v Európe. Kampaň prisudzujú proruskej skupine APT29.

Research & Engineering

Operačný systém Apple iOS obsahuje zraniteľnosť, ktorá umožňuje ktorejkoľvek aplikácii posielať notifikácie na systémovej úrovni. Zraniteľnosť používa zastaralé Darwin API rozhranie a sa dá zneužiť na trvalé poškodenie iPhone zariadenia.

Kryptografické funkcie v Python interpreteri budú od verzie 3.14 nahradené 15000 riadkami formálne verifikovanej knižnice HACL*. Použitie je plne kompatibilné s predchádzajúcimi Python verziami.

Výskumníci zo spoločnosti HiddenLayer prišli s novým univerzálnym prompt injection útokom, ktorý obchádza bezpečnostné ochrany LLM modelov umelej inteligencie.

V magazíne ACM Queue bol publikovaný článok Fifty Years of Open Source Software Supply Chain Security.

SuperNote A6 X2 Nomad E-Ink tablet je možné kompromitovať nainštalovaním rootkitu z lokálnej siete bez akejkoľvek interakcie zo strany používateľa.

Google publikoval štatistiku verejne známych 0-day exploitov objavených v roku 2024. Za zmienku stojí množstvo bezpečnostných VPN produktov a sieťových zariadení, ktoré boli úspešne kompromitované.

Zločin a úniky informácií

Výskumníci zo spoločnosti Invariant Labs demonštrovali útok v ktorom manipulujú Model Context Protocol (MCP), spôsobom, že skryjú škodlivé inštrukcie do popisu nástroja, ktorý cez MCP protokol AI používa. Používateľ vidí len popis, no AI model skrytú časť interpretuje ako inštrukciu. Výskumníci ukázali, ako tak dokážu odcudziť napr. obsah citlivých súborov.

Bezpečnostní výskumníci berlínskeho startupu thinkAwesome GmbH zistili, že populárny robotický pes Unitree Go1 má predinštalovaný nezdokumentovaný tunel pre vzdialený prístup.

Bezpečnostná zraniteľnosť v aplikácii Verizon Call Filter pre iOS, útočníkovi umožnila únik záznamov histórie hovorov zákazníkov spoločnosti Verizon Wireless.

Požičovňa áut Hertz Corporation sa stala obeťou útoku pri ktorom unikli údaje o zákazníkoch, ich vodičské oprávnenia či informácie o kreditných kartách.

Ostatné

Nico Dekens publikoval blog v ktorom polemizuje, ako prehnané používanie AI nástrojov deformuje OSINT odvetvie. V blogu spomína zaujímavý výskum od Microsoft Research a Carnegie Mellon univerzity v ktorom zaznamenali u požívateľov AI nový typ správania:

• Namiesto vytvárania hypotéz sa používatelia pýtali umelej inteligencie na nápady.
• Namiesto overovania zdrojov predpokladali, že umelá inteligencia ich už overila.
• Namiesto hodnotenia viacerých perspektív akceptovali a upravili súhrn toho, čo im dala umelá inteligencia a pokračovali ďalej.

Apache Parquet implementácia formátu ukladania dát v ekosystéme Apache Hadoop obsahuje zraniteľnosť s maximálnou závažnosťou (CVSS v4 10.0), ktorá umožňuje vzdialené spustenie kódu vo všetkých verziách do verzie 1.15.0 vrátane.

Android 16 prináša rozšírenú ochranu Advanced Protection Mode, ktorá zakáže použitie 2G sietí či inštalovanie aplikácií cez neoficiálne kanály. Google tiež na súčasnú verziu Androidu pridal bezpečnostnú funkciu, ktorá po troch dňoch nepoužívané zariadenie automaticky reštartuje.

Publikácia v žurnále Cryptologia mapuje vplyv kryptoanalýzy z Bletchley Parku na povojnovú výučbu matematiky v Spojenom kráľovstve.

Niekoľko kalifornských priechodov pre chodcov bolo napadnutých hackermi. Zvukové zariadenia na semaforoch rozprávali hlasom Elona Muska a Marka Zuckerberga.

Atypography je umelecké hnutie, ktoré používa technicky steganografie a primitívnej kryptografie na zakomponovanie textu do každodenných objektov.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.