Geopolitické hry
Nemecký kancelár Friedrich Merz povedal, že čínski dodávatelia, ako napríklad Huawei Technologies Co., budú z bezpečnostných dôvodov vylúčení z budúcich telekomunikačných sietí krajiny a že Nemecko nepovolí použitie žiadnych komponentov z Číny v budúcich 6G sieťach.
Spoločnost Ruter, najväčší prevádzkovateľ verejnej dopravy v Nórsku, odhalila potencionálne bezpečnostné riziko v čínskych autobusoch Yutong, ktoré môže čínsky výrobca na diaľku manipulovať použitím mobilnej siete a rumunských SIM kariet, ktoré sú do autobusov predinštalované výrobcom.
Najväčšia čínska cybersecurity firma Knownsec bola napadnutá. Uniknuté informácie odhalili podrobnosti o kybernetických operáciách čínskeho štátu, cielených krajinách a desiatkach hacknutých zahraničných spoločnostiach.
Projekt GrapheneOS oznámil, že migruje všetky webové stránky a diskusné servery z Francúzska do zahraničia s tvrdením, že krajina nie je bezpečná pre open-source projekty zaoberajúce sa ochranou súkromia.
Africký štát Tanzánia vypol na päť dní internet. Výpadok začal v deň volieb nového prezidenta.
Research & Engineering
Bezpečnostní výskumníci z Viedenskej univerzity a spoločnosti SBA Research odhalili zraniteľnosť, ktorá pomocou funkcie vyhľadávania kontaktov v aplikácii WhatsApp umožňovala stiahnuť čiastočné údaje o približne 3,5 miliarde účtov WhatsApp. Štatistiky ktoré výskumníci vytvorili odhalili používateľov aj v krajinách kde je WhatsApp zakázaný.
Spoločnosť Trail of Bits odhalila dve zraniteľnosti v JavaScript knižnici pre kryptografiu eliptických kriviek s názvom elliptic, ktorú používa takmer 3000 projektov.
GoSign, desktopový klient používaný talianskou verejnou správou a podnikoch, ktoré potrebujú kvalifikovaný elektronický podpis, obsahoval viaceré chyby, ktoré v kombinácii umožňovali útok typu man-in-the-middle so vzdialeným spustením kódu.
Výskumníci zo spoločnosti Roundtable testovali schopnosť najpopulárnejších AI agentov riešiť výzvy Google reCAPTCHA v2.
Na GitHube bol publikovaný zdrojový kód projektu OpenPCC, open-source frameworku pre preukázateľne súkromnú inferenciu umelej inteligencie. Projekt je inšpirovaný systémom Private Cloud Compute od spoločnosti Apple.
Nový útok na hardvérový AES akcelerátor Bluetooth čipu používaného v miliónoch zariadení po celom svete dokáže obnoviť celý šifrovací kľúč z vyžarovania zachyteného vo vzdialenosti jedného metra od zariadenia.
Spoločnosť Meta publikovala praktickú ochranu pri použití AI agentov. Výskumníci v skratke odporúčajú sprístupniť AI agentovi počas výkonu úlohy vždy len dve z troch vlastností, ktoré popisuje tzv. lethal trifecta:
- Agent môže spracovať nedôveryhodné vstupy.
- Agent môže mať prístup k citlivým systémom alebo súkromným údajom.
- Agent môže zmeniť stav systému alebo komunikovať externe.
Skupina Google Threat Intelligence popísala spôsoby, akými útočníci zneužívajú nástroje umelej inteligencie.
V novembri bol vydaný prvý oficiálny OWASP AI Testing Guide.
Zločin a úniky informácií
Najvyšší súd okresu Sacramento v Kalifornii, USA rozhodol, že program sledovania, ktorý prevádzkuje Mestský úrad pre verejné služby mesta Sacramento a polícia, je nezákonný. V rámci nelegálneho programu úrad monitoroval údaje o spotrebe elektriny ich zákazníkov, a nahlasoval odberateľov s „podozrivo“ vysokou spotrebou polícii. Jedná sa o viac ako 33000 tipov, kedy úrad vyhodnotil, že odberateľ môže pestovať marihuanu.
Spoločnosť CrowdStrike minulý mesiac prepustila podozrivého insidera, ktorý údajne poskytoval informácie o spoločnosti známej hackerskej skupine Scattered Lapsus$ Hunters.
Microsoft Azure bol v novembri cieľom 15.72 Tbps DDoS útoku.
Ostatné
Daniel J. Bernstein publikoval sériu blogov v ktorých kritizuje IETF TLS pracovnú skupinu, ktorá štandardizuje post-kvantové (PQ) kryptografické algoritmy, že paralelne s hybridnou bezpečnou schémou štandardizuje aj čisto PQ schému. Ako paralelu uviedol štandardizovanie auta s bezpečnostnými pásmi spolu s autom bez bezpečnostných pásov. Návrh na štandardizovanie „auta bez pásov“ poslala do štandardizačného procesu americká národná bezpečnostná agentúra NSA.
Filippo Valsorda publikoval „The 2025 Go Cryptography State of the Union“. Ide o ročný sumár udalostí a zmien v kryptografických komponentoch knižnice jazyka Go.
Bola vydaná špecifikácia Bluetooth 6.2, ktorá mimo iných zlepšení prináša aj zlepšenia bezpečnostné.
Google Chrome verzie 142 umožňuje zobrazenie domény stránky, ktorá je otvorená v iframe ráme a do ktorej používateľ vkladá prihlasovacie údaje.
V Django, jednom z najpoužívanejších webových frameworkov, bola odhalená kritická SQL injection zraniteľnosť (CVE-2025-64459).
Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.
Pridaj komentár