Geopolitické hry

Spoločnosť xAI Elona Muska podpísala dohodu s Pentagonom o nasadení AI modelu Grok v utajovaných systémoch americkej armády. Doteraz bola v týchto prostrediach dostupná iba AI od spoločnosti Anthropic, spoločnosť však odmietla sprístupniť svoj model na účely masového sledovania a vývoja autonómnych zbraní. Vo francúzsku zatiaľ polícia prehľadala kancelárie spoločnosti X (bývalého Twitteru) a Veľká Británia otvorila voči nástroju Grok vyšetrovanie v súvislosti s obvineniami týkajúcimi sa bezpečnosti detí a generovania nelegálnych obrázkov.

Trumpova administratíva nariadila americkým diplomatom aktívne bojovať proti zákonom o dátovej suverenite v zahraničí, zatiaľ čo Európa začala proces odpútania sa od platobných systémov Visa a Mastercard v súvislosti s otázkami dátovej suverenity a ochrany súkromia.

Traja inžinieri zo Silicon Valley boli zatknutí za krádež obchodných tajomstiev z Google a ďalších technologických firiem vrátane materiálov o bezpečnosti procesorov a kryptografii. Dáta boli údajne prenesené na zariadenia prepojené s kontaktmi v Iráne.

Ruská FSB začala trestné stíhať zakladateľa Telegramu Pavla Durova za „napomáhanie terorizmu“. Podľa FSB bol Telegram použitý pri množstve trestných činov. Durov to považuje za zámienku na úplný zákaz Telegramu v krajine.

USA plánujú spustiť online portál na obchádzanie blokovania internetového obsahu v Európe a inde vo svete.

Research & Engineering

Google Project Zero zdokumentoval 0-click exploit chain pre Pixel 9 kombinujúci dve zraniteľnosti, v audio dekodéri a v kernel driveri. Exploit umožňoval vzdialené spustenie kódu a eskaláciu privilégií bez interakcie používateľa. Po počiatočnom nastavení prostredia našli výskumníci obe zraniteľnosti za menej ako dva dni. Fascinujúce čítanie.

Výskumníci ukázali, že veľké jazykové modely dokážu efektívne deanonymizovať používateľov analýzou ich štýlu písania a to naprieč platformami ako Reddit a LinkedIn.

Výskumníci upozorňujú, že rušenie WiFi signálu ľudským telom umožňuje identifikovať a sledovať jednotlivcov.

Nový výskum ukazuje, že AI agenti porušujú etické obmedzenia v 30 až 50% prípadov, keď sú dané pod tlak KPI metrík. Konflikt medzi etickými pravidlami a KPI cieľmi vedie k systematickému obchádzaniu bezpečnostných zábran.

Výskumníci z Atredis Partners objavili kritické zraniteľnosti v klasickej hre Command & Conquer: Generals. Výskumníci naprogramovali červa demonštrujúceho vzdialené spustenie kódu cez hernú peer-to-peer sieť.

Google a Intel spolupracovali na päťmesačnom bezpečnostnom audite Intel TDX 1.5. Objavili päť zraniteľností a množstvo iných slabín.

Výskumníci analyzovali troch cloudových správcov hesiel, Bitwarden, LastPass a Dashlane. V riešeniach našli 25 zraniteľností.

V simulovaných vojnových hrách AI modely Claude, GPT a Gemini zvolili nasadenie jadrových zbraní až v 95% prípadov.

Zločin a úniky informácií

Francúzsky programátor pri pokuse ovládať svoj robotický vysávač DJI Romo cez PlayStation ovládač získal prístup k takmer 7000 vysávačom v 24 krajinách. Zraniteľnosť umožňovala prístup ku kamerám, mikrofónom a pôdorysom domácností.

Výskumníci identifikovali až 287 škodlivých rozšírení pre prehliadač Chrome, ktoré tajne exfiltrujú dáta používateľov.

Whistleblower vyniesol tisíce strán interných WhatsApp chatov, ktoré odhaľujú každodenný život zotročených pracovníkov v juhovýchodnej Ázii.

Zločinci v roku 2025 ukradli z bankomatov viac ako 20 miliónov dolárov pomocou malvéru Ploutus.

Ostatné

Americkí občania ničia kamery spoločnosti Flock, ktorá prevádzkuje vyše tisíce čítačiek ŠPZ naprieč USA. Dôvodom je spolupráca firmy s imigračným úradom ICE. Popri tom novinár Glenn Greenwald upozorňuje, že kamery Amazon Ring a Google Nest odhaľujú rozsah štátno-korporátneho sledovacieho aparátu v USA. Funkcia „Search Party“ kamier Ring prepája viaceré kamery a umožňuje sledovanie jednotlivcov.

Botnet Kimwolf zaplavil anonymizačnú sieť I2P až 700 tisíc škodlivými uzlami pri pokuse vybudovať si záložnú komunikačnú infraštruktúru. I2P sieť tak prakticky vyradil z prevádzky. Tím I2P reagoval do šiestich dní vydaním novej verzie s protiopatreniami.

Spoločnosť Trail of Bits publikovala 23 Skills pre Claude Code, ktoré sú určené na AI-asistovanú prácu vo sfére IT bezpečnosti. Publikované skilly dokážu analyzovať neznámu softvérovú architektúru, sumarizovať kontext pre audity či automatizovať fuzzing.

Deadend CLI je autonómny penetračný testovací agent pre webové aplikácie, ktorý využíva AI na adaptívne hľadanie zraniteľností. Beží lokálne bez cloudových závislostí a dosahuje 78% úspešnosť na benchmarku XBOW.

V prehliadači Chrome bola objavená zero-day zraniteľnosť CVE-2026-2441 typu use-after-free v CSS engine, ktorá bola útočníkmi aktívne zneužívaná.

Let’s Encrypt predstavil novú metódu validácie DNS-Persist-01, ktorá umožňuje organizáciám umiestniť trvalý DNS záznam autorizujúci vydanie certifikátu namiesto opakovaných dynamických výziev pri každom obnovení.

Firefox 148 prináša nové setHTML() API, ktoré nahrádza nebezpečný innerHTML a poskytuje vstavanú ochranu proti XSS útokom.

PortSwigger zverejnil rebríček Top 10 webových hackerských techník roku 2025.

Vyšlo 8. číslo online magazínu Paged Out, ktorý obsahuje jednostranové články o bezpečnosti, reverznom inžinierstve a kreatívnom programovaní.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.