Zo sveta IT bezpečnosti, 8/2025

Geopolitické hry

Čínska vláda obvinila spoločnosť Nvidia z backdooru v jej čipoch H20. Funkcionalita vraj spoločnosti umožňuje sledovať polohu zariadenia a na diaľku ho vypnúť.

Anglický komisár pre deti vyzval vládu, aby zakročila a začala blokovať virtuálne privátne siete (VPN), ktoré mladiství používajú na obchádzanie vekových obmedzení. Situácia sa eskaluje od implementovania obmedzení z kontroverzného Online Safety Act.

Spoločnosť Microsoft obmedzila prístup čínskych spoločností k predbežným oznámeniam o zraniteľnostiach vo svojich technológiách po tom, čo zistili, že informácie ktoré tak zdieľajú viedli k sérii hackerských útokov zneužívajúcich chyby v softvéri SharePoint.

Microsoft Threat Intelligence varuje, že ruské hackerské skupiny zneužívajú siete a prostriedky miestnych poskytovateľov internetových služieb na útoky na zahraničné ambasády v Moskve. Kampaň robí man-in-the-middle útoky a zhromažďuje informácie zo zariadení diplomatov.

Research & Engineering

Výskumníci zo spoločnosti Brave zistili, že AI lišta v prehliadači Comet spoločnosti Perplexity je zraniteľná na útok typu prompt injection. Navštívená webstránka dokáže napríklad prehliadaču povedať aby odoslal email cez používateľov Gmail.

Spoločnosť Xbow, ktorá pracuje na autonómnom hľadaní bezpečnostných zraniteľností s použitím AI agentov sprístupnila zdrojový kód agenta Strix, ktorý sa nedávno dostal na prvú priečku bug bounty platformy HackerOne.

Inžinierom z Google sa podarilo prakticky zneužiť CPU zraniteľnosť Retbleed, ktorá bola publikovaná v roku 2022. Pri jednej z demonštrácií sa im podarilo prečítať celú pamäť hosťujúceho stroja z neprivilegovaného virtuálneho stroja ktorý bol na ňom spustený.

Smrteľná trojica schopností – Lethal Trifecta of capabilities – je pojem ktorý zaviedol Simon Willison a ktorý popisuje situáciu, kedy má AI jazykový model prístup k privátnym informáciám, zároveň je vystavený nedôveryhodnému obsahu pod kontrolou útočníka a zároveň má schopnosť externe komunikovať. V takejto situácií môže dojsť ku kompromitovaniu systému a útočník môže získať prístup k citlivým dátam manipulovaním jazykového modelu.

Vaisha Bernard zo spoločnosti Eye Security získal prístup do viac ako 22 interných služieb spoločnosti Microsoft po tom, čo objavil chyby v použití Entra OAuth s multi-tenant aplikáciami.

AI systém na hľadanie zraniteľností s názvom Big Sleep prevádzkovaný spoločnosťou Google nahlásil už viac ako 20 chýb v rôznych populárnych open source softvéroch.

Rogue Security publikovalo zaujímavý blog o zabezpečovaní systemd servisov. Niektoré príkazy možno uvidíte po prvý raz.

Zločin a úniky informácií

Súkromná nemocnica v Thajsku dostala pokutu po tom, čo sa zistilo, že papierové záznamy o pacientoch sa používajú ako obaly na občerstvenie.

Nemecká spoločnosť Einhaus Group, kedysi popredná sieť poisťovní a servisu mobilných zariadení, začala insolvenčné konanie v dôsledku kybernetického útoku, ktorý spoločnosť ochromil v roku 2023 a z ktorého sa už nespamätala.

Spoločnosť TSMC, výrobca čipov Apple, uviedla, že sa jej zamestnanci pokúsili ukradnúť obchodné tajomstvá týkajúce sa 2-nanometrového čipového procesu, ktorý sa má použiť pre čipy A20 v rade iPhone 18.

Americká farmaceutická spoločnosť Inotiv oznámila, že niektoré jej systémy a dáta boli zašifrované pri ransomvér útoku.