Опрос
|
реклама
Быстрый переход
ИИ-браузер Comet заставили воровать письма из Gmail и другие данные — в Perplexity только отмахнулась
03.10.2025 [21:27],
Анжелла Марина
Исследователи в сфере кибербезопасности из компании LayerX реализовали новую атаку CometJacking, позволяющую похищать конфиденциальные данные пользователей, такие как письма Gmail и события календаря, через ИИ-браузер Comet от Perplexity. Для успешной атаки не требуются учётные данные жертвы или её активные действия — метод использует скрытые инструкции, внедрённые в параметры URL, заставляя ИИ обходить встроенную защиту и передавать информацию на внешние серверы. 
Источник изображения: Perplexity Метод CometJacking был разработан исследователями LayerX, которые направили отчёт о проблеме компании Perplexity в конце августа. Однако, как сообщает BleepingComputer, разработчик ИИ-браузера отказался признавать наличие уязвимости, отметив оба отчёта — от 27 августа (промпт-инъекция) и от 28 августа (выгрузка данных) как «неприменимые». Суть метода заключается в инъекции вредоносных команд через параметр collection в строке запроса URL, обрабатываемой Comet. По данным LayerX, внедрённый промпт заставляет ИИ-агент обращаться не к веб-поиску, а к собственной памяти и подключённым сервисам, что позволяет злоумышленнику извлекать доступные данные. В ходе тестов исследователи получили доступ к сообщениям Gmail и приглашениям Google Calendar, после чего вредоносная инструкция предписывала закодировать чувствительную информацию в формат base64 и отправить её на внешний сервер, контролируемый атакующим. Comet выполнил эти действия, миновав все проверки безопасности Perplexity. В реальном сценарии злоумышленник может распространять вредоносную ссылку через электронную почту или размещать её на часто посещаемых веб-страницах. Специалисты отмечают, что хотя Perplexity реализовала меры защиты от прямой передачи конфиденциальных данных, эти механизмы не учитывают случаи, когда информация намеренно маскируется или кодируется перед отправкой. В своём исследовании они продемонстрировали, как экспорт чувствительных полей в закодированном виде (base64) эффективно обходит проверку на выгрузку данных. Кроме кражи информации, CometJacking может использоваться и для выполнения активных действий от имени жертвы, например, отправки писем с аккаунта или поиска файлов в корпоративной среде. Напомним, Comet представляет собой агентный ИИ-браузер, способный автономно выполнять веб-запросы и, в зависимости от предоставленных разрешений, помогать пользователям управлять электронной почтой, совершать покупки, заполнять формы или бронировать билеты. Несмотря на выявленную эффективность атаки, команда безопасности Perplexity заявила, что «после анализа отчёта не выявила никакого влияния на безопасность», назвав уязвимость «простой промпт-инъекцией без последствий». Издание BleepingComputer также обратилось к Perplexity с запросом о возможном пересмотре оценки риска CometJacking, однако на момент публикации ответа не получено. Ранее и компания Guardio Labs обнаружила существенные пробелы в безопасности браузера, однако его популярность продолжает расти. Геймерскую мышь превратили в шпионский микрофон для прослушки пользователей
03.10.2025 [21:16],
Николай Хижняк
Группа исследователей из Калифорнийского университета в Ирвайне показала способ использования высококлассных оптических датчиков, применяемых в геймерских компьютерных мышах, для улавливания тончайших вибраций и преобразования их в звуковые данные. Таким методом можно вести прослушку ничего неподозревающих пользователей. 
Источник изображения: Razer Согласно публикации Mic-E-Mouse, благодаря высокой частоте опроса и чувствительности высокопроизводительные оптические мыши могут улавливать акустические вибрации с поверхности, на которой они находятся. После обработки этих данных с помощью специального фильтра и технологии машинного обучения команда смогла услышать, что пользователь говорит, находясь у компьютера. 
Источник изображения здесь и ниже: sites.google.com/view/mic-e-mouse По данным исследователей, наиболее уязвимыми такой атаке являются датчики мышей с разрешением 20 000 точек на дюйм (DPI) и выше. А поскольку лучшие игровые мыши, оснащающиеся такими датчиками, с каждым годом становятся всё более доступными, даже относительно недорогие периферийные устройства подвергаются данному риску.  Всё начинается с того, что пользователь подключает такую мышь к взломанному компьютеру. При этом компьютер не нужно заражать каким-то сложным вирусом через бэкдор. Достаточно лишь, чтобы пользователь установил на ПК заражённое FOSS-приложение, собирающее высокочастотные данные с мыши. Это могут быть приложения для креативной работы или даже игры. Сбор таких данных программами не является чем-то необычным. Собранные таким образом необработанные данные можно извлечь с целевого компьютера для последующей обработки. «Используя только уязвимую мышь и компьютер жертвы, на котором установлено скомпрометированное или даже безвредное программное обеспечение (в случае веб-атаки), мы показываем, что можно собирать пакетные данные мыши и извлекать аудиосигналы», — заявляют исследователи. Необработанные аудиоданные проходят цифровую обработку с использованием фильтра Винера. Затем эти данные дополнительно очищаются с помощью нейронной модели, что позволяет получить чистый звук.  Использование искусственного интеллекта для обработки сигнала позволяет добиться точности распознавания речи примерно в диапазоне 42–61 %, что фактически превращает мышь в подслушивающий микрофон. В смартфонах OnePlus обнаружена дыра в безопасности — любое приложение может читать все SMS без разрешения
27.09.2025 [13:44],
Павел Котов
На смартфонах OnePlus обнаружена серьёзная уязвимость, открывающая потенциальным злоумышленникам доступ к данным SMS и MMS. Производитель признал факт наличия ошибки и пообещал исправить её в середине октября с обновлением ПО. 
Источник изображения: oneplus.com Проблему обнаружили эксперты специализирующейся на кибербезопасности компании Rapid7. Они опубликовали результаты исследования эксплойта, позволяющего обходить разрешения, — эксплойт работает на «нескольких версиях» OxygenOS, начиная с OxygenOS 12 на смартфоне OnePlus 8T. Проблема оказалось в том, что производитель внёс в стандартный пакет Telephony изменения, открывающее любому установленному на уязвимое устройство приложению доступ к базе SMS, MMS и их метаданных «без разрешения, взаимодействия с пользователем или его согласия». TelephonyProvider — это входящий в код AOSP (Android Open Source Project) системный компонент, выступающий менеджером доступа к сообщениям. В исходном варианте он предусматривает строгие ограничения доступа к данным, но разработчики OxygenOS добавили в этот пакет дополнительные классы ContentProvider, у которых отсутствуют меры безопасности на уровне исходного TelephonyProvider. Компания Rapid7 пыталась связаться с OnePlus и Oppo по данному вопросу с начала мая по вторую половину сентября, но за это время не получила внятного ответа и была вынуждена самостоятельно раскрыть широкой общественности информацию об уязвимости, которой присвоили номер CVE-2025-10184. Материал был опубликован 23 сентября, и только 24 сентября OnePlus сделала заявление. Китайский производитель дал ресурсу 9to5Google следующий комментарий: «Подтверждаем, что ранее была обнаружена уязвимость CVE-2025-10184, и мы уже внедрили исправление. Оно будет развёртываться по всему миру с обновлением ПО, начиная с середины октября. OnePlus по-прежнему привержена защите данных клиентов и продолжит уделять первоочередное внимание улучшению безопасности». Учитывая, что ошибка отсутствует в OxygenOS 11, компания внесла изменения в пакет Telephony во времена Android 12, добавив, в том числе три класса ContentProvider:
Само по себе изменение этого пакета не несёт угрозы, но разработчики OnePlus пренебрегли соображениями безопасности и открыли для этих классов доступ к чтению (но не записи) SMS без соответствующих ограничений. Владельцам смартфонов OnePlus рекомендовано проявлять осмотрительность до выхода обновления ПО, в том числе удалить все ненужные приложения и не устанавливать новые из непроверенных источников. А механизмы многофакторной авторизации с использованием SMS, пожалуй, лучше заменить соответствующими приложениями. Google Chrome получил экстренное обновление из-за уязвимости, через которую вовсю взламывались ПК
19.09.2025 [17:11],
Павел Котов
Компания Google в экстренном порядке обновила браузер Chrome, чтобы закрыть в нём активно эксплуатируемую хакерами уязвимость. Пользователям обозревателя рекомендовано убедиться, что они работают с его последней версией. 
Источник изображения: Rubaitul Azad / unsplash.com Уязвимость за номером CVE-2025-10585 представляет собой ошибку путаницы типов в движке V8 — JavaScript и WebAssembly. Она проявляется, когда движок по ошибке интерпретирует блок памяти как объект одного типа, а на самом деле она оказывается чем-то иным. Это может привести к сбоям в работе системы, выполнению произвольного кода и, в сочетании с другими уязвимостями, к полной компрометации системы при помощи вредоносной HTML-страницы. Компания призналась, что ей известно о существовании эксплойта для CVE-2025-10585 — то есть схемы атаки, использующей данную уязвимость. Официально обнаружил её отдел Google Threat Analysis Group, который пока не стал раскрывать механизма проблемы. Чтобы защититься от уязвимости, рекомендуется обновить Chrome до версий 140.0.7339.185/.186 в зависимости от платформы. В последнем обновлении исправлены три других серьёзных проблемы. Только за этот год это уже шестая уязвимость нулевого дня Chrome, которая эксплуатировалась киберпреступниками — все эти ошибки Google постаралась исправить в кратчайшие сроки. ChatGPT превратили в сообщника при краже секретных данных из Gmail
19.09.2025 [16:04],
Владимир Фетисов
Специалисты из компании Redware, работающей в сфере информационной безопасности, опубликовали результаты исследования Shadow Leak, в рамках которого они использовали ИИ-бота ChatGPT в качестве сообщника для кражи конфиденциальных данных из почтовых ящиков Gmail. OpenAI уже закрыла эту уязвимость, но сам факт такой возможности является хорошим примером рисков, которые могут нести ИИ-агенты. 
Источник изображения: Kevin Ku / Unsplash Последнее время всё более распространёнными становятся ИИ-агенты, которые используют нейросети для выполнения определённых действий от имени пользователей и не нуждаются в постоянном контроле. К примеру, они могут просматривать веб-страницы и переходить по ссылкам. Разработчики в сфере ИИ активно продвигают такие сервисы, заявляя, что они позволяют экономить массу времени после того, как пользователь предоставит им доступ к своей почте, календарям, рабочим документам и т.д. Для достижения поставленной цели исследовали задействовали метод «инъекция промптов», который подходит для атак на системы, использующие большие языковые модели (LLM), и предполагающий встраивание в вводимые пользователем команды инструкций с целью заставить ИИ-агента выполнять нужные злоумышленникам действия. При этом жертва такой атаки может не подозревать о том, что что-то пошло не так, поскольку команды алгоритму могут быть скрытыми, например, написанными белым цветом на белом фоне. В рамках исследования Shadow Leak специалисты задействовали инструмент Deep Research, который являются частью системы ChatGPT компании OpenAI. Они сделали скрытым текст вредоносных инструкций для ИИ-агента и добавили его в электронное письмо, которое через Gmail направили жертве. Когда пользователь в следующий раз попытался задействовать инструмент Deep Research он невольно попал в ловушку. В процессе анализа поступающей корреспонденции ИИ-агент натолкнулся на новые инструкции, которые предписывали ему найти все письма от сотрудников отдела кадров и личные данные, после чего он должен был передать эту информацию злоумышленникам. При этом жертва атаки не заметила ничего необычного. Отмечается, что достаточно сложно заставить выйти ИИ-агента из-под контроля и стать источником утечки данных. Исследователям потребовалось много времени прежде чем удалось добиться нужного результата. В данном случае утечка данных произошла в облачной инфраструктуре OpenAI, что делает её незаметной для стандартных средств защиты от киберугроз. Исследователи добавили, что другие подключённые к Deep Research сервисы, такие как Outlook, GitHub, Google Drive и Dropbox, могут быть уязвимы перед подобными атаками. Миллионы Wi-Fi-устройств по-прежнему подвержены уязвимости Pixie Dust, обнаруженной более десяти лет назад
19.09.2025 [05:07],
Николай Хижняк
Компания NetRise, специализирующаяся на защите прошивок и программных компонентов устройств Интернета вещей, сообщила, что многие сетевые устройства по-прежнему уязвимы для метода атаки через Wi-Fi, раскрытого более десяти лет назад. Об этом пишет SecurityWeek. 
Источник изображения: SecurityWeek Атака, получившая название Pixie Dust, была обнаружена в 2014 году, когда было продемонстрировано, что уязвимость, связанная с протоколом Wi-Fi Protected Setup (WPS), может быть использована для получения PIN-кода WPS маршрутизатора и подключения к целевой беспроводной сети без ввода пароля. Атака Pixie Dust предполагает, что злоумышленник, находящийся в зоне действия целевой сети Wi-Fi, перехватывает начальное WPS-рукопожатие, содержащее данные между клиентом и точкой доступа для аутентификации, которые затем можно взломать в офлайн-режиме для получения PIN-кода WPS. Атака полагается на тот факт, что на некоторых устройствах случайные числа (передающиеся между клиентом и точкой доступа) генерируются с использованием предсказуемых или низкоэнтропийных методов. Злоумышленнику требуется всего несколько секунд, чтобы перехватить WPS-рукопожатие, а затем в течение нескольких минут или даже секунд — получить PIN-код в офлайн-режиме. Компания NetRise провела анализ 24 моделей сетевых устройств, использующихся в настоящее время, на предмет их уязвимости к атакам Pixie Dust. Устройства были приобретены у шести производителей, но половина из них была произведена компанией TP-Link. Анализ NetRise показал, что из 24 маршрутизаторов, точек доступа, усилителей сигнала и гибридных систем Powerline/Wi-Fi только четыре были защищены от атак Pixie Dust, но во многих случаях исправления появились спустя 9-10 лет. Среди неисправленных продуктов семь уже сняты с производства, но 13 всё ещё поддерживаются. В ходе тестов специалисты NetRise смогли восстановить PIN-код WPS затронутых уязвимостью устройств за 1-2 секунды. Если говорить в масштабе, то речь может идти о миллионах затронутых уязвимостью Pixie Dust устройств. «Существование уязвимых реализаций WPS отражает системный недостаток в цепочках поставок прошивок. Поставщики повторно используют небезопасные библиотеки, не обеспечивают соблюдение безопасных настроек по умолчанию и обеспечивают низкую прозрачность. Это создаёт для производителей риски репутационного ущерба, потенциального вмешательства со стороны регулирующих органов и юридической ответственности. Устройства, подверженные уязвимости, могут казаться безопасными из-за настроек пользовательского интерфейса, которые внешне скрывают или отключают WPS, но остаются уязвимыми на уровне прошивки. Это создает скрытые пути для эксплойтов в средах с высоким уровнем доверия, таких как филиалы компаний, розничная торговля и здравоохранение. Предприятия не могут надежно обнаружить эту уязвимость самостоятельно, а потому остаются в зависимости от раскрытия информации поставщиками, которые часто этого не делают», — отметила NetRise. Исследование NetRise было проведено после недавнего предупреждения Агентством по кибербезопасности и защите инфраструктуры США (CISA) о том, что старая уязвимость, связанная с отсутствием аутентификации, затрагивающая усилители сигнала Wi-Fi-диапазона TP-Link, эксплуатируется в реальных условиях. Встроенная в DDR5 защита от атаки Rowhammer оказалась с дырой — любую современную систему можно взломать
16.09.2025 [12:59],
Геннадий Детинич
Исследователи обнаружили уязвимость модулей оперативной памяти стандарта DDR5 к атакам типа Rowhammer, хотя эта память должна была быть в значительной степени от них защищена. Последние спецификации DDR5 предусматривают защиту от злонамеренного переключения битов в чипах ОЗУ, но атака «Феникс» (Phoenix) проделала в ней брешь и привела к появлению инструментов для взлома самых современных компьютерных платформ. 
Источник изображения: www.bleepingcomputer.com Уязвимость чипов DDR5 к атакам типа Rowhammer показала сводная группа исследователей из отдела компьютерной безопасности (COMSEC) Швейцарской высшей технической школы Цюриха (ETH Zurich) и компании Google. Они изучили механизмы защиты самой распространённой памяти DDR5 производства компании SK hynix, доля которой на рынке достигает 36 %. Впрочем, это не означает, что память DDR5 других производителей свободна от этой уязвимости. Безопасных чипов, похоже, не существует. Атака Rowhammer, напомним, строится на увеличении частоты обращений к определённым ячейкам памяти. Это вызывает рост паразитных токов утечек в ячейках, что затрагивает соседние с ними ячейки DRAM. Следствием этого становится переключение битового состояния ячеек, непосредственно не атакуемых, а, например, в защищённых областях памяти. Такая атака позволяет злоумышленнику повысить привилегии в системе, извлечь ключ шифрования и сделать много других неприятных для пользователя вещей на атакуемом компьютере. После изучения встроенных в память DDR5 SK hynix решений по защите от атак Rowhammer группа учёных обнаружила слепые зоны в механизме Target Row Refresh (TRR), который предотвращает инверсию битов, отправляя дополнительную команду обновления при обнаружении частого обращения к определённой строке. Оказалось, что при работе TRR существуют интервалы, когда атака остаётся не скомпенсированной. В частности, для исследуемой памяти это оказались интервалы обновления 128 и 2608. Если атака синхронизирована с процессами защиты TRR, то она производится точно в то время, когда на неё не будет реакции от системы защиты. На основе выявленной уязвимости, получившей название Phoenix, исследователи создали эксплоит для повышения уровня привилегий в системе. Во время тестирования потребовалось менее двух минут, чтобы получить root-права «на стандартной системе DDR5 с настройками по умолчанию». Кроме того, исследователи изучили возможность практического применения атаки Phoenix для получения контроля над целевой системой. При нацеливании на записи таблицы страниц (PTE) для создания произвольного примитива чтения/записи в память они обнаружили, что все протестированные продукты уязвимы. В ходе другого теста исследователи замахнулись на ключи RSA-2048 в виртуальной машине, расположенной в том же месте, чтобы взломать аутентификацию по SSH, и обнаружили, что 73 % модулей DDR5 не обеспечили защиты. В настоящее время уязвимость Phoenix отслеживается как CVE-2025-6202 и имеет высокий уровень опасности. Она затрагивает все модули оперативной памяти DDR5, выпущенные в период с января 2021 года по декабрь 2024 года. Все 15 протестированных модулей памяти DDR5 компании SK hynix имели те или иные уязвимости к атаке Phoenix или даже полный комплект уязвимостей. В качестве варианта для защиты от атак Phoenix и других подобных исследователи предложили в три раза уменьшить время регенерации памяти (tRFC). Это «собьёт с толку» уже созданные для атаки эксплоиты, но следует добавить, что уменьшение интервала регенерации памяти скорее всего приведёт к падению производительности системы. Остаётся полагаться на производителей памяти и чипсетов, чтобы они создали механизмы защиты теперь уже от атак типа «Феникс», чтобы атака Rowhammer больше не смогла возродиться из пепла, как легендарная птица, давшая имя новой уязвимости. В Intel Coffee Lake и любых AMD Zen нашлась новая уязвимость класса Spectre, а патч бьёт по производительности
12.09.2025 [19:03],
Павел Котов
Схемы атак по сторонним каналам на процессоры, как оказалось, ещё не исчерпали себя: учёные Высшей технической школы Цюриха (ETH Zurich) обнаружили ещё одну уязвимость спекулятивного выполнения, основанную на известной ещё с 2018 года проблеме Spectre. Она затрагивает процессоры AMD Zen всех поколений, а также чипы Intel Coffee Lake, и позволяет нарушать границы виртуализации. 
Источник изображения: JESHOOTS / unsplash.com Схему атаки, использующую уязвимость VMSCAPE (CVE-2025-40300), охарактеризовали как первый эксплойт на основе Spectre, открывающий злоумышленнику в облачной виртуальной машине доступ к закрытым данным из гипервизора — при этом не нужно вносить изменения в код и стандартные настройки системы. Ключевым компонентом облачных вычислений являются средства виртуализации, которые безопасно разделяют физические ресурсы на виртуальные, управление которыми осуществляет гипервизор. Целями атаки VMSCAPE являются гипервизор KVM (Kernel-based Virtual Machine) и его клиентская часть QEMU (Quick Emulator). В системах на чипах AMD Zen 4 атака VMSCAPE обеспечивает утечку памяти процесса QEMU со скоростью 32 бит/с. Это позволяет, к примеру, за 772 секунды извлечь ключ шифрования диска, указывают исследователи. Уязвимости подвержены процессоры AMD Zen с первого по пятое поколений, а также выпущенные в 2017 году Intel Coffee Lake. Решить проблему на аппаратном уровне невозможно, поэтому она решается в Linux программными средствами, но это влечёт снижение производительности. Учёные из ETH Zurich изучили, как процессоры AMD и Intel обрабатывают разделение хоста и гостевой системы, и обнаружили, что для чипов AMD Zen и для Intel Coffee Lake защита недостаточно надёжна. Как выяснилось, буфер предсказания ветвлений (BTB), помогающий прогнозировать последующие инструкции до их появления в коде, чтобы повысить производительность, осуществляет эти операции для хоста и гостевой системы вперемешку, и гипотетический злоумышленник может этим воспользоваться. Чтобы продемонстрировать такую возможность, была разработана техника атаки vBTI (virtualization Branch Target Injection или «виртуальная инъекция цели ветвления»). 
Источник изображения: Ryan / unsplash.com В AMD заявили, что компания признает факт наличия уязвимости, но исправит её только на программном уровне. Представитель Intel заявил: «Для решения этой проблемы можно использовать существующие средства защиты процессоров Intel. Ранее Intel публиковала руководства по защите от атак инъекции цели ветвления (BTI), инъекции истории ветвлений (BHI) и выбора косвенной цели (ITS), и инженеры Intel сотрудничают с разработчиками Linux, чтобы гарантировать, что соответствующие средства защиты от этих уязвимостей, описанные в руководствах, будут развёрнуты в гипервизоре в пользовательском пространстве Linux. Как ожидается, средства защиты будут доступны к дате публикации VMSCAPE, а CVE для этой уязвимости будет назначена Linux». Далее патч для ядра Linux будет портирован на различные дистрибутивы системы. Авторы исследования разработали механизм защиты от атаки VMSCAPE — он получил название IBPB-on-VMExit. Разработчики Linux оптимизировали его и переименовали в «IBPB before exit to userspace». Этот механизм снижает производительность машины — величина издержек зависит от интенсивности нагрузки и частоты перехода процессора из виртуальной системы в основную. В виртуальных машинах могут работать эмулируемые или виртуализованные устройства — в первом случае виртуальная машина чаще обращается к хосту, и производительность системы с установленным механизмом защиты будет снижаться сильнее. Для эмулируемых устройств просадка может составить до 10 %, указывают исследователи, хотя в случае процессоров AMD Zen 4 она ограничивается лишь 1 %. Средство защиты для Linux будет работать на всех системах, включая последние AMD Zen 5 и даже чипы Intel Lunar Lake и Granite Rapids, на которых схема атаки VMSCAPE не работает. Пароли «admin» и другие дыры в кибербезопасности сети ресторанов Burger King выявили белые хакеры
09.09.2025 [16:57],
Владимир Мироненко
Этичные хакеры BobDaHacker и BobTheShoplifter заявили об обнаружении «катастрофических уязвимостей» в компьютерных системах группы Restaurant Brands International (RBI), которой принадлежат такие известные сети ресторанов, как Burger King, Tim Hortons и Popeyes, с более чем 30 тыс. филиалов по всему миру. 
Источник изображения: Desola Lanre-Ologun/unsplash.com Выяснилось, что корпоративные сайты assistant.bk.com, assistant.popeyes.com и assistant.timhortons.com могли быть легко взломаны во всех более чем 30 тыс. филиалах группы по всему миру. Обнаруженные уязвимости позволили хакерам без труда получить доступ к учётным записям сотрудников, системам оформления заказов и прослушивать записи разговоров с клиентами в автокафе. По словам этичных хакеров, API для регистрации позволяет любому войти в компьютерную систему группы, поскольку команда веб-разработчиков «забыла заблокировать регистрацию пользователей». Используя функцию GraphQL introspection, хакеры смогли создать учётную запись без подтверждения электронной почтой, а пароль присылался в виде простого текста. С помощью инструмента createToken белые хакеры смогли повысить свой статус до администратора на всей платформе. На всех планшетах для автокафе был указан пароль admin. А для входа в систему заказа устройств группы пароль был жёстко прописан в HTML-коде. Этичные хакеры уведомили RBI об обнаруженных уязвимостях, которые та быстро устранила, даже не поблагодарив специалистов за помощь. Бывший сотрудник подал на WhatsApp в суд из-за игнорирования проблем с кибербезопасностью
09.09.2025 [14:57],
Владимир Мироненко
Бывший топ-менеджер по кибербезопасности WhatsApp подал в федеральный суд Сан-Франциско на материнскую компанию Meta✴, в котором обвинил её в игнорировании проблем с безопасностью, а также в том, что против него были приняты ответные меры после его сообщений об имеющихся нарушениях, пишет The Guardian. 
Источник изображения: Dima Solomin/unsplash.com Аттаулла Байг (Attaullah Baig), занимавший должность руководителя службы безопасности WhatsApp с 2021 по 2025 год, сообщил в 115-страничном иске, что в ходе внутреннего тестирования он обнаружил, что «около 1500 инженеров WhatsApp имели неограниченный доступ к данным пользователей, включая конфиденциальную личную информацию», и что сотрудники «могли перемещать или красть такие данные без обнаружения или аудиторского следа». Это потенциально является нарушением федеральных законов о ценных бумагах, и юридических обязательств Meta✴, связанных с соглашением о конфиденциальности, заключённым с Федеральной торговой комиссией США (FTC) в 2020 году. Бейг неоднократно высказывал свою обеспокоенность руководству компании, включая главу WhatsApp Уилла Кэткарта (Will Cathcart) и генерального директора Meta✴ Марка Цукерберга (Mark Zuckerberg), однако надлежащих мер по устранению нарушений принято не было. Более того, в течение трёх дней после первого раскрытия информации о проблемах с кибербезопасностью он начал получать в компании «негативные отзывы о своей работе», после чего руководство неоднократно критиковало его за плохую работу. В конечном итоге в феврале 2025 года Бейга уволили за «низкую производительность» в рамках волны сокращений работников компании, затронувшей 5 % персонала. Он подавал жалобы в федеральные регулирующие органы, включая Комиссию по ценным бумагам и биржам США (SEC) и Управление по охране труда (OSHA) Министерства труда США, прежде чем начать судебное разбирательство. Комментируя иск, Карл Вуг (Carl Woog), вице-президент по коммуникациям WhatsApp, заявил агентству AFP: «К сожалению, это распространённая схема: бывшего сотрудника увольняют за плохую работу, а затем он публикует заявления с передёргиванием фактов, искажающие суть упорной работы нашей команды». В поданном иске Бейг требует восстановления в должности, выплаты заработной платы и возмещения ущерба, а также возможного применения к компании мер принудительного характера со стороны регулирующих органов. В Android закрыли уязвимость, позволявшую захватить контроль над смартфоном через Bluetooth или Wi-Fi
04.09.2025 [00:45],
Анжелла Марина
Google выпустила сентябрьское обновление безопасности для Android, которое устраняет 84 уязвимости в компонентах операционной системы и 27 — в продуктах Qualcomm, включая две критические бреши, уже использовавшиеся злоумышленниками в реальных атаках. Обновление затрагивает устройства под управлением Android 13 и новее, сообщает BleepingComputer. 
Источник изображения: AI Две активно эксплуатируемые уязвимости нулевого дня получили идентификаторы CVE-2025-38352 и CVE-2025-48543. Первая представляет собой ошибку повышения привилегий в ядре Android, вызванную условием гонки в POSIX CPU-таймерах, и может привести к сбоям, отказу в обслуживании и эскалации привилегий. Вторая обнаружена в компоненте Android Runtime и позволяет вредоносному приложению обойти «песочницу» (Sandbox — изолированная среда для каждого приложения) и получить доступ к системным возможностям более высокого уровня. В своём бюллетене Google отметила, что имеются признаки ограниченного целевого использования этих уязвимостей, однако дополнительных деталей не раскрыла. Помимо этого, обновление исправляет четыре уязвимости критического уровня опасности. Одна из них, CVE-2025-48539, позволяет атакующему в зоне действия сети Wi-Fi или Bluetooth выполнить произвольный код на устройстве без какого-либо взаимодействия с пользователем. Остальные три уязвимости (CVE-2025-21450, CVE-2025-21483 и CVE-2025-27034) затрагивают проприетарные компоненты Qualcomm. Согласно данным Qualcomm, CVE-2025-21483 является уязвимостью повреждения памяти в стеке передачи данных, возникающей при повторной сборке видеопотока (NALU) из RTP-пакетов. CVE-2025-27034 представляет собой ошибку проверки индекса массива в процессоре многорежимных вызовов при выборе PLMN из списка неудачных ответов SOR и может привести к повреждению памяти и выполнению кода на уровне модема устройства. Для установки обновления необходимо перейти в раздел «Настройки» → «Система» → «Обновление ПО» и проверить его наличие. Пользователям устройств на Android 12 и более старых версиях компания рекомендует перейти на более новую поддерживаемую модель или использовать стороннюю прошивку с актуальными патчами безопасности. Общее количество устранённых уязвимостей, включая исправления для 27 компонентов Qualcomm, составляет 111. Для устройств на чипах MediaTek актуальная информация о безопасности доступна в отдельном бюллетене производителя. Компания Samsung также выпустила собственное сентябрьское обновление для флагманских устройств, включающее исправления для фирменных компонентов, таких как One UI. Браузер Chrome обновился до 140-й версии — закрыты шесть уязвимостей, включая критическую
03.09.2025 [22:20],
Анжелла Марина
Google выпустила обновление для браузера Chrome, устраняющее несколько уязвимостей безопасности. Обновление версии 140.0.7339.80/81 для Windows и macOS, а также 140.0.7339.80 для Linux уже доступно для пользователей. По заявлению компании, на данный момент не зафиксировано случаев эксплуатации этих уязвимостей в реальных атаках. 
Источник изображения: AI В блоге Chrome Releases специалист Google Сринивас Систа (Srinivas Sista) сообщил, что четыре из шести устранённых уязвимостей были обнаружены сторонними исследователями и переданы компании через программу поощрения за обнаружение багов. Одна из «дыр» с идентификатором CVE-2025-9864 относится к типу use-after-free и классифицируется как риск высокого уровня, затрагивая V8 JavaScript-движок. Остальные три — CVE-2025-9865, CVE-2025-9866 и CVE-2025-9867 — оценены как баги среднего уровня риска. Информация о двух других, обнаруженных непосредственно специалистами Google, не раскрывается, отмечает PCWorld. Обновление устанавливается автоматически, но пользователи могут вручную проверить наличие новой версии через меню «Справка» → «О браузере Google Chrome». Версия для Android включает те же исправления, что и десктопные сборки. Для пользователей канала Extended Stable (расширенная стабильная версия) на Windows и macOS также доступна версия 140.0.7339.81. Следующее крупное обновление (Chrome 141) компания планирует выпустить в начале октября. Производителям других браузеров на базе Chromium, включая Microsoft Edge, Vivaldi и Brave, предстоит интегрировать аналогичные исправления. На данный момент эти браузеры используют версии, выпущенные до текущего патча. Отдельно отмечается, что браузер Opera версии 121 по-прежнему основан на устаревшей версии Chromium 137, обновления для которой Google прекратила с 24 июня. При этом последний релиз Opera 121.0.5600.50 не включает переход на более новую версию Chromium. Ранее 3DNews сообщал о том, что ИИ-агент Google Big Sleep самостоятельно обнаружил критическую уязвимость в браузере Chrome без участия человека, а компания запланировала выпустить обновление Chrome 140, к пробной версии которого на прошедшей неделе получили доступ некоторые пользователи. Миссия выполнима: ИИ-агент Google самостоятельно нашёл критическую уязвимость в браузере Chrome
27.08.2025 [19:07],
Сергей Сурабекянц
В очередном обновлении безопасности браузера Chrome Google исправила критическую уязвимость (CVE-2025-9478), обнаруженную автономным инструментом на основе ИИ под названием Google Big Sleep. Этот ИИ-агент разработан на базе нейросети Gemini и предназначен для обнаружения уязвимостей без участия человека. Обязательная проверка, произведённая специалистами-людьми, показала правоту Big Sleep. 
Источник изображения: unsplash.com Google исправила критическую уязвимость в версиях Chrome 139.0.7258.154/155 для Windows и macOS, в версии 139.0.7258.154 для Linux и в Chrome для Android версии 139.0.7258.158. Ожидается, что производители других браузеров на базе Chromium последуют этому примеру в ближайшие дни. В блоге компании устранённая уязвимость описана, как обнаруженная внешними специалистами по безопасности, однако её первооткрывателем назван именно Google Big Sleep. Поскольку к результатам проверки безопасности, полученным с помощью подобных инструментов, следует относиться с осторожностью, они всегда перепроверяются экспертами. Google не раскрывает информации о проценте ошибочных диагнозов Big Sleep. Однако в описываемом случае ИИ-агент отработал в лучших традициях специальных агентов из фильмов-блокбастеров. Google классифицирует CVE-2025-9478 (уязвимость использования памяти после освобождения в графической библиотеке Angle) как критическую. По данным Google, она пока не эксплуатировалась для реальных атак. В предыдущем обновлении безопасности Chrome, выпущенном неделю назад, Google также закрыла уязвимость безопасности, обнаруженную Big Sleep. Пока неясно, насколько востребованными являются подобные инструменты искусственного интеллекта для поиска уязвимостей в программном коде. Есть вероятность, что компания специально привлекает внимание общественности к достижениям ИИ, так как кровно заинтересована в продолжении бума искусственного интеллекта и внедрении ИИ везде, где только возможно. Текущие версии браузеров Microsoft Edge, Brave и Vivaldi в настоящее время ещё не получили исправления уязвимости CVE-2025-9478. При этом Vivaldi основан не на Chromium 139, а на Chromium 138 из расширенного стабильного канала. Несмотря на обновление от 25 августа, Opera по-прежнему использует устаревший Chromium 135, для которого Google не выпускала обновления с конца апреля. Следующая версия Opera, которая будет работать на Chromium 137, всё ещё находится на стадии бета-тестирования. Google планирует выпустить Chrome 140 на следующей неделе, а некоторые пользователи уже получили доступ к пробной версии на этой неделе. Обычно Chrome обновляется автоматически при выходе новой версии. Для запуска обновлений вручную следует в меню «Справка» выбрать пункт «О Google Chrome». Хакер нашёл способ бесплатно питаться в McDonald's и множество других уязвимостей — исправлять их компания не спешила
20.08.2025 [15:36],
Владимир Мироненко
Исследователь BobDaHacker обнаружил множество уязвимостей в цифровой инфраструктуре McDonald's, которые раскрывали конфиденциальные данные клиентов и позволяли осуществлять несанкционированный доступ к внутренним корпоративным системам. Он отметил, что компания крайне медленно занималась их устранением. 
Источник изображения: Kevin Ku/unsplash.com В частности, на внедрение полноценной системы учётных записей с разными путями входа в сервис McDonald's Feel-Good Design Hub для сотрудников компании потребовалось целых три месяца после получения сообщения исследователя. «Однако проблема всё ещё оставалась. Мне нужно было всего лишь изменить login на register в URL-адресе, чтобы создать новую учётную запись для получения доступа к платформе», — сообщил BobDaHacker. Трудно поверить, что McDonald's серьёзно относится к безопасности своего центра Feel-Good Design Hub, когда на решение проблемы уходит целый квартал, когда для этого достаточно изменить одно слово в URL-адресе, отметил ресурс Tom's Hardware. Исследователь заинтересовался безопасностью инфраструктуры McDonald's когда обнаружил, что мобильное приложение McDonald's выполняло проверку бонусных баллов только на стороне клиента, что позволяло пользователям потенциально претендовать на бесплатные блюда, например, наггетсы, даже не имея достаточного количества баллов. Столкнувшись с проблемами при попытке сообщить об этой находке по надлежащим каналам McDonald's, BobDaHacker продолжил изучение системы безопасности компании и обнаружил уже более серьёзные уязвимости. Например, система регистрации McDonald's Feel-Good Design Hub выдавала сообщения об ошибках с указанием обязательных полей, что упрощало несанкционированное создание учётной записи. Более того, платформа отправляла новым пользователям пароль в открытом виде, что давно не практикуется крупными компаниями. Исследователь обнаружил API-ключи и секреты McDonald's, встроенные непосредственно в JavaScript-код Design Hub, что могло позволить злоумышленникам отправлять пользователям уведомления под видом официальных или проводить фишинговые кампании, используя собственную инфраструктуру McDonald's. Это неполный перечень уязвимостей, которые выявил BobDaHacker. Он рассказал, что столкнулся с большими трудностями при попытке уведомить компанию об имеющихся багах. Пришлось звонить в штаб-квартиру McDonald's и случайным образом называя имена сотрудников службы безопасности, найденных в LinkedIn, связаться с уполномоченным лицом для отправки отчёта об уязвимостях. «На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал мне реальный адрес для сообщения об этих проблемах», — рассказал BobDaHacker. Исследователь сообщил, что McDonald's, похоже, устранила «большинство уязвимостей», о которых ей рассказали, но при этом компания уволила сотрудника, который помогал расследовать некоторые уязвимости, и «так и не создала надлежащий канал для сообщения о проблемах с безопасностью». Исследователь нашёл уязвимости в четырёх сайтах Intel, но не получил за это ни гроша
20.08.2025 [12:53],
Павел Котов
Исследователь в области кибербезопасности, специалист по обратному проектированию и разработчик приложений под псевдонимом Eaton Z обнаружил несколько уязвимостей на принадлежащих Intel сайтах. Одна из них, получившая название Intel Outside, позволила ему скачать информацию о 270 тыс. сотрудников компании. Сама Intel закрыла уязвимости, но другой реакции на инцидент не последовало, и никакого вознаграждения эксперт не получил. 
Источник изображения: Rubaitul Azad / unsplash.com Исследовательский проект эксперт начал с изучения сайта Intel India Operations (IIO), через который сотрудники компании обычно заказывают визитки. Изучая механизмы работы формы входа на сайт, он обнаружил, что валидация производится на стороне не сервера, а клиента при помощи функции getAllAccounts на JavaScript. Специалист изменил схему её работы, заставив функцию вернуть непустой массив — это сработало, и взломщик (к счастью, этичный) оказался в системе, которая теперь считала, что он уже прошёл авторизацию, и выдала ему токен API, с которым он получил доступ к данным сотрудников компании. Удалив установленный по умолчанию прямо в URL-адресе фильтр, эксперт добрался до информации обо всех работниках Intel, а не только индийского филиала, и скачал «файл JSON размером почти 1 Гбайт» с их персональными данными, включая имя, должность, непосредственного руководителя сотрудника, номер телефона и почтовый адрес. Грубые ошибки он выявил и на других сайтах Intel. На внутреннем ресурсе Product Hierarchy обнаружились легко расшифровываемые учётные данные, внесённые прямо в программный код (хардкод), — эксплуатация этой уязвимости снова позволила ему получить огромный список персональных данных сотрудников компании и администраторский доступ к системе. Учётные данные на внутреннем ресурсе Product Onboarding также были внесены прямо в код. Взломать удалось и сайт для поставщиков SEIMS Supplier Site — эксперт обошёл механизм авторизации и снова скачал данные всех сотрудников Intel. Будучи этичным хакером, Eaton Z в октябре 2024 года написал Intel и сообщил о своих открытиях. Ни одна из уязвимостей не попала под действующую в компании программу по выплате вознаграждений, а сама Intel не удостоила его полноценным ответом, ограничившись автоматической шаблонной отпиской. Тем не менее, по состоянию на 28 февраля этого года все уязвимости были устранены, и теперь, спустя без малого полгода, он предал инцидент широкой огласке. |
|
✴ Входит в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности»; |
© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
