Știri
Știri din categoria Securitate cibernetică
O versiune nouă a kitului de exploatare DarkSword a fost publicată pe GitHub, ceea ce poate facilita atacuri asupra iPhone-urilor și iPad-urilor care rulează versiuni mai vechi de iOS, potrivit TechCrunch.
Publicarea vine la scurt timp după ce cercetători în securitate cibernetică au descoperit o campanie de atacuri care viza utilizatori de iPhone și folosea DarkSword, un instrument avansat de hacking. Acum, o versiune mai nouă a acestui set de instrumente ar fi fost scursă și pusă la dispoziție public, pe o platformă de partajare a codului.
Cercetătorii avertizează că scurgerea ar putea permite oricărui atacator să vizeze utilizatorii care nu au făcut actualizarea la iOS 26. Conform datelor Apple despre dispozitive neactualizate, impactul potențial ar putea ajunge la sute de milioane de iPhone-uri și iPad-uri aflate încă în uz.
Matthias Frielingsdorf, cofondator al companiei de securitate mobilă iVerify, a declarat pentru TechCrunch că fișierele sunt „mult prea ușor de reutilizat” și că situația „nu mai poate fi ținută sub control”, ceea ce ar însemna că infractorii cibernetici ar putea începe să le folosească pe scară mai largă. El susține că noile versiuni DarkSword folosesc aceeași infrastructură ca cele analizate anterior de echipa sa, deși fișierele diferă ușor.
Frielingsdorf spune că materialele încărcate sunt simple, în principal HTML și JavaScript, ceea ce ar permite copierea și găzduirea lor pe un server în „câteva minute până la câteva ore”. În evaluarea sa, „exploatările funcționează imediat” și „nu este nevoie de expertiză iOS”, adică nu ar fi necesare cunoștințe avansate despre sistemul de operare pentru a lansa atacul.
O poziție similară a fost transmisă de Google. Kimberly Samra, purtător de cuvânt al companiei, a spus că cercetătorii Google sunt de acord cu evaluarea iVerify, notează Google Cloud, care analizase anterior lanțul de exploatare DarkSword.
Un pasionat de securitate care folosește pseudonimul matteyeux a declarat, de asemenea, pentru TechCrunch că folosirea mostrelor scurse este trivială și a susținut că a reușit să compromită o tabletă iPad mini cu iOS 18 folosind o mostră DarkSword „din mediul real” care circulă online, potrivit unei postări pe X citate de X.
Apple a confirmat că știe despre exploatarea care vizează dispozitive cu sisteme de operare vechi și a anunțat că a emis pe 11 martie o actualizare de urgență pentru dispozitivele care nu pot rula versiuni recente de iOS. Un purtător de cuvânt al companiei a reiterat că actualizarea software este „cel mai important” pas pentru securitatea produselor Apple și că dispozitivele la zi nu ar fi expuse acestor atacuri; compania a indicat și că „Lockdown Mode” ar bloca aceste atacuri, conform TechCrunch.
TechCrunch precizează că nu publică link către codul scurs, deoarece poate fi folosit în atacuri active. Din descrierea publicației, comentariile din cod ar explica modul de funcționare și implementare, inclusiv exfiltrarea (copierea și trimiterea neautorizată) unor fișiere relevante pentru investigații criminalistice digitale de pe dispozitive iOS prin HTTP, precum și activități „post-exploatare” care ar viza contacte, mesaje, istoricul apelurilor și iOS Keychain (componenta care stochează parole Wi‑Fi și alte secrete).
Potrivit iVerify, Google și Lookout, DarkSword ar funcționa în mod specific împotriva dispozitivelor cu iOS 18. Conform Apple, aproximativ un sfert dintre utilizatorii de iPhone și iPad ar rula încă iOS 18 sau o versiune mai veche; raportat la peste 2,5 miliarde de dispozitive active, menționate de Apple Newsroom, asta ar însemna un bazin de „sute de milioane” de dispozitive potențial vulnerabile, dacă nu sunt actualizate.
Un purtător de cuvânt al Microsoft, compania care deține GitHub, nu a răspuns imediat unei solicitări de comentariu, mai notează TechCrunch. În context, publicația amintește că DarkSword a fost asociat anterior cu atacuri atribuite unor hackeri ai guvernului rus împotriva țintelor ucrainene și că apariția sa urmează după descoperirea unui alt set avansat de instrumente pentru iPhone, Coruna, despre care TechCrunch a relatat că ar fi fost dezvoltat inițial de contractorul de apărare L3Harris.
Recomandate
Un nou exploit „nepatchabil” din BootROM poate forța rularea de cod pe dispozitive Apple cu cipuri A12 și A13 , ceea ce ridică un risc operațional persistent pentru organizațiile care folosesc astfel de terminale și nu le pot scoate rapid din uz, potrivit 9to5Mac . Vulnerabilitatea, numită „usbliter8”, permite execuție arbitrară de cod pe dispozitive aflate în modul DFU (Device Firmware Update), iar fiind la nivel de BootROM (cod de pornire în hardware), nu poate fi remediată prin actualizări software. Ce înseamnă „nepatchabil” și de ce contează pentru companii Cercetătorii de la Paradigm Shift descriu usbliter8 ca un exploit care „folosește atât un bug hardware în controlerul USB, cât și o problemă de configurare în firmware”, ceea ce îl face imposibil de „peticit” prin update-uri. Practic, pentru flotele de dispozitive (telefoane, tablete, ceasuri) aflate încă în ciclul de utilizare, asta înseamnă că riscul nu dispare odată cu un update iOS/watchOS, ci rămâne atașat generațiilor de hardware afectate. Echipa Paradigm Shift spune că a lucrat cu Apple Product Security înainte de publicare pentru coordonarea dezvăluirii și a mulțumit echipei Apple pentru cooperare. Ce dispozitive sunt vizate Conform descrierii, bug-ul afectează SoC-urile (cipurile) Apple A12, S4, S5 și A13. Deși autorii menționează explicit iPhone în materialul tehnic, lista de dispozitive care folosesc aceste cipuri include: A12: iPhone XR, iPhone XS/XS Max, iPad Air 3, iPad mini 5, iPad 8, Apple TV 4K (generația a doua) S4: Apple Watch Series 4 S5: Apple Watch Series 5, Apple Watch SE (generația 1), HomePod mini A13: iPhone 11/11 Pro/11 Pro Max, iPhone SE (generația a doua), iPad 9, Studio Display Cercetătorii adaugă că suport tehnic pentru A12X/Z „este posibil”, dar „nu este implementat în prezent”, ceea ce ar putea extinde aria către iPad Pro din 2018 și 2020. Cum funcționează atacul și care sunt limitele lui Mecanismul descris: atacatorul trimite date special construite către dispozitiv prin USB, în timp ce acesta este în mod DFU , „derutând” controlerul USB și determinându-l să scrie date în zona greșită de memorie. Rezultatul este control asupra procesului de pornire: atacatorul poate rula cod înainte ca iOS să se încarce, poate ocoli verificări de semnătură și poate porni software de sistem modificat. O limitare importantă menționată de autori: exploitul nu compromite direct Secure Enclave (componenta care protejează chei criptografice și date sensibile), ceea ce înseamnă că parolele și datele criptate ale utilizatorilor „rămân sigure” în practică. Totuși, echipa avertizează că, deși nu afectează Secure Enclave în sine, poate „deschide vectori de atac mai largi” care să ducă la compromiterea acesteia. Ce măsuri rămân disponibile Pentru că este un exploit „nepatchabil”, cercetătorii indică drept cea mai eficientă măsură migrarea către hardware mai nou . În termeni operaționali, asta poate însemna accelerarea planurilor de înlocuire pentru dispozitivele din generațiile A12/A13 (și cele cu S4/S5), mai ales în medii unde există risc de acces fizic la terminale. În paralel, Paradigm Shift a publicat și un „proof of concept” pe GitHub (proiect demonstrativ), care a strâns peste 280 de „stars” în câteva ore, semnal că zona va fi urmărită îndeaproape de comunitatea de securitate — și, potențial, de dezvoltatorii de instrumente de tip jailbreak. Contextual, 9to5Mac amintește că exploitul nu afectează A11 sau mai vechi, unde există deja un alt exploit BootROM „nepatchabil”, cunoscut ca „checkm8”. [...]
Apple a început să distribuie un update de firmware pentru Beats Studio Buds care închide o vulnerabilitate Bluetooth ce ar fi putut permite ascultarea prin microfoane , potrivit BGR . Actualizarea a început pe 16 iunie și duce firmware-ul la versiunea 1B211. Vulnerabilitatea este identificată ca CVE-2025-20701 și este legată de un kit software (SDK) Bluetooth audio al Airoha, nu de un cod dezvoltat integral de Apple. Conform articolului, Beats Studio Buds folosesc cipul MT2821A, un cip Bluetooth cu consum redus dezvoltat de Airoha (companie deținută de MediaTek), ceea ce explică expunerea la această problemă. Ce permitea vulnerabilitatea și în ce condiții CVE-2025-20701 ar putea fi exploatată atunci când căștile nu sunt deja asociate (paired) și caută activ dispozitive pentru asociere. Pentru ca atacul să funcționeze, atacatorul ar trebui să fie în raza Bluetooth. Cercetătorii de la compania de securitate cibernetică ERNW au descoperit problema, iar cazul a fost raportat inițial în iunie 2025, cu detalii suplimentare făcute publice în decembrie, notează materialul. Într-un articol citat de BGR, Bleeping Computer arată că vulnerabilitatea poate permite conectarea la căștile victimei fără consimțământ și stabilirea unor conexiuni audio bidirecționale, care pot fi folosite pentru: a asculta sunetul captat de microfoanele căștilor; a trimite audio pentru redare (și alte acțiuni, potrivit descrierii cercetătorilor). Aceiași cercetători au catalogat vulnerabilitatea drept „necritică” și au precizat că ar necesita abilități tehnice avansate pentru realizarea conexiunii neautorizate, conform relatării Bleeping Computer preluate de BGR. Impact mai larg: nu doar Apple, ci și alte branduri BGR subliniază că Beats Studio Buds nu sunt singurele afectate: ar exista și alte modele de căști de la Sony, Bose, JBL, Marshall, Jabra și alți producători care folosesc același cip și ar fi vizate de aceeași clasă de problemă, iar „multe” ar fi fost deja remediate. În paralel, Apple a lansat firmware 8B41 pentru AirPods Pro 2 și AirPods Pro 3 , însă acesta nu include corecția pentru CVE-2025-20701, deoarece aceste modele folosesc cip audio proprietar Apple, nu platforma Airoha menționată în cazul Beats Studio Buds. Cum se face actualizarea și cum verifici versiunea Actualizarea de firmware pentru Beats Studio Buds se livrează automat când căștile sunt: asociate activ cu un dispozitiv Apple (de exemplu iPhone sau Mac), la încărcat sau complet încărcate, puse în carcasă, cu capacul închis. Procesul poate dura până la 30 de minute, în funcție de conexiunea la internet. Pentru utilizatorii de Android, BGR indică actualizarea prin aplicația Beats: căștile trebuie să fie pornite și asociate, apoi în aplicație apare un buton „Update” dacă există o versiune disponibilă. Verificarea versiunii se poate face pe iPhone/iPad din Settings, apăsând pe numele căștilor, apoi în secțiunea About, unde apare versiunea de firmware la „Under the Hood”. [...]
Comisia Europeană vrea să întărească rolul Europol în investigațiile digitale printr-un pachet de măsuri care include o infrastructură „cloud” securizată și un spațiu european de date partajate pentru poliție, alături de creșteri de bugete și personal pentru Europol și Eurojust, potrivit Agerpres . Pachetul, prezentat miercuri de Comisia Europeană, pornește de la constatarea că criminalitatea devine „din ce în ce mai sofisticată, internațională și digitală”, iar anchetele eficiente cer cooperare strânsă între poliție, autorități vamale, procurori și instanțe, de la începutul investigației până la hotărârea definitivă. Ce se schimbă operațional: date mai rapide și lucru „în timp real” între state Propunerile acoperă întregul lanț de sprijin al UE pentru statele membre – de la prevenire și detectare până la cooperare judiciară și urmărire penală – și includ două regulamente pentru consolidarea mandatelor Europol și Eurojust, o revizuire a ordinului european de anchetă și modificări ale Regulamentului privind protecția datelor pentru instituțiile și organele UE. În cazul Europol, Comisia propune măsuri care vizează direct modul în care se face schimbul de informații în dosare transfrontaliere, inclusiv online. Printre elementele menționate: schimb de informații mai eficient și mai sigur , inclusiv prin schimb automat și mai rapid, pentru colaborare „în timp real” în investigații; o infrastructură „cloud” securizată, scalabilă și suverană și un spațiu al datelor partajate al poliției , pentru lucru virtual comun la cazuri; birouri de sprijin Europol în statele membre , formate din polițiști care au lucrat anterior în agenție, pentru utilizarea mai bună a instrumentelor (de exemplu, criminalistică și analiză de date); un centru tehnologic și de inovare , care să ofere o imagine la nivelul UE asupra nevoilor de capabilități și să sprijine investiții comune în cercetare și dezvoltare; cooperare mai strânsă cu Eurojust și Parchetul European și consolidarea cooperării internaționale cu țări partenere. Comisia susține că automatizarea proceselor și punerea în comun a resurselor ar urma să simplifice fluxurile de lucru, să reducă sarcina administrativă și să aducă economii administrative și câștiguri de eficiență pentru agenție și statele membre. De ce contează pentru zona de securitate cibernetică În logica pachetului, accentul pe schimb rapid de date, infrastructură „cloud” și un spațiu comun de date pentru poliție urmărește să reducă fragmentarea informațiilor între state, într-un context în care actorii infracționali operează transfrontalier și online și „abuzează din ce în ce mai mult de inteligența artificială”, potrivit Comisiei. Eurojust ar urma, la rândul său, să primească un mandat extins inclusiv pentru domenii emergente precum criminalitatea informatică , alături de încălcarea măsurilor restrictive ale UE sau violența bazată pe gen, conform aceleiași surse. Ce urmează Comisia a prezentat propuneri legislative (regulamente și revizuiri de instrumente), ceea ce înseamnă că pașii următori țin de procesul de adoptare la nivelul UE. Materialul citat nu precizează un calendar sau valori concrete ale majorărilor de buget și personal. [...]
Arestarea a încă doi suspecți ridică la șapte numărul persoanelor acuzate în dosarul complotului privind un atac cu drone explozive vizând evenimentul UFC organizat pe peluza de sud a Casei Albe, potrivit The Jerusalem Post , care citează un comunicat al Departamentului de Justiție al SUA (DOJ). Cei doi, William Lee Spartacus Falkner și Jordan W. Rincker, au fost puși sub acuzare pentru „conspirație la comiterea unei crime”, pentru rolurile pe care procurorii le atribuie în planul dejucat de FBI săptămâna trecută. Odată cu noile arestări, totalul suspecților din dosar ajunge la șapte, conform DOJ. În cazul lui Falkner, DOJ susține că acesta ar fi discutat despre fabricarea și pilotarea dronelor pentru a ataca evenimentul, inclusiv despre încărcarea lor cu explozibili. Publicația redă și o afirmație atribuită lui Falkner, legată de „raza letală” a exploziei. Rincker este acuzat, potrivit DOJ, că ar fi acceptat 1.200 de dolari (aprox. 5.500 lei) de la un alt conspirator arestat, Abraham Hermosillo Alvarez, pentru a distribui banii către persoane implicate în plan. Tot DOJ afirmă că Rincker i-ar fi oferit lui Alvarez o pușcă cu pompă calibrul 12, într-o întâlnire în Omaha, primind la schimb mai multe echipamente și bunuri, inclusiv o imprimantă 3D, filament pentru imprimare 3D și un minicomputer. Componenta operațională: drone, explozibili și echipamente DOJ indică faptul că imprimanta 3D ar fi fost destinată fabricării de drone. În același timp, Rincker ar fi declarat anchetatorilor că nu a încercat niciodată să construiască drone și că nu știe cum se face acest lucru, potrivit relatării. Ce spun autoritățile despre scenariul atacului FBI a dejucat atacul potențial cu drone explozive care ar fi vizat zona Casei Albe în timpul UFC Freedom 250, iar directorul FBI, Kash Patel, a confirmat săptămâna trecută existența complotului, notează publicația. Potrivit unor oficiali citați de FOX News (menționați în articol), planul ar fi urmărit lovirea cu drone explozive a unor clădiri din apropierea evenimentului pentru a împinge spectatorii către o ambuscadă a unor lunetiști, urmată de o încercare de a forța porțile Casei Albe. Țintele invocate ar fi inclus „elite capitaliste”, „miliardari” sau politicieni care au primit donații de la American Israel Public Affairs Committee (AIPAC) , conform aceleiași relatări. [...]
Meta a pus pe pauză un program intern de monitorizare a activității angajaților, după ce un angajat a semnalat riscuri de expunere a unor date sensibile necriptate , potrivit TechRadar . Investigația vizează inițiativa „ Model Capability Initiative” (MCI) , care ar fi urmărit mișcările mouse-ului și activitatea digitală pentru a antrena modele de inteligență artificială. Ce făcea programul și de ce contează operațional MCI ar fi fost lansat în aprilie, cu scopul de a îmbunătăți modelele de AI ale companiei în sarcini unde acestea „se împiedică” de interacțiuni tipic umane cu computerul — de exemplu, selectarea dintr-un meniu derulant sau folosirea diferitelor scurtături de tastatură. Într-un memo intern citat în material, Meta ar fi prezentat inițiativa ca pe o modalitate prin care „toți angajații” pot contribui la îmbunătățirea modelelor „prin munca lor de zi cu zi”. Din perspectivă operațională, cazul ridică două probleme: amploarea colectării (monitorizare detaliată a activității) și controlul asupra datelor rezultate, mai ales când acestea ar fi fost stocate necriptat. Semnalarea de securitate: ce date ar fi fost expuse Conform Reuters (citată de TechRadar), un angajat a depus un raport de incident de securitate cu prioritate ridicată (SEV), susținând că programul ar fi expus date ale angajaților, inclusiv: „prompts” și transcrieri complete (în context, comenzi/cereri introduse în sisteme AI și rezultatele lor); conversații private; date despre persoane și performanță; evaluări de sensibilitate DSS (1–4). Aceeași sursă afirmă că programul ar fi colectat „mai multe informații decât fusese descris inițial” și le-ar fi stocat în formă necriptată. Angajatul ar fi susținut, de asemenea, că a putut accesa de pe computerul de serviciu informații personale, inclusiv fiscale și medicale. Poziția Meta și stadiul opririi Meta a confirmat că a pus programul pe pauză pentru a investiga acuzațiile, dar a spus că nu are, deocamdată, indicii că datele ar fi fost accesate necorespunzător de angajați. Declarația atribuită purtătoarei de cuvânt Tracy Clayton, citată în articol, este: „Am proiectat cu atenție acest program cu măsuri de protecție a confidențialității și, deși nu avem nicio indicație în acest moment că vreo dată a fost accesată necorespunzător de angajații Meta, îl punem pe pauză în timp ce investigăm.” Compania nu a precizat cât va dura pauza și a indicat că oprirea completă „pentru toată lumea” necesită timp, astfel că unii angajați ar putea vedea în continuare programul activ. Reuters a relatat că, în după-amiaza zilei de luni, programul încă rula pentru unele persoane. Ce urmează În lipsa unui termen comunicat pentru finalizarea investigației, miza imediată este dacă Meta va confirma amploarea colectării și modul de stocare a datelor, respectiv dacă va modifica sau va abandona MCI. Pentru companii, cazul este un semnal de risc privind instrumentele interne de „telemetrie” (colectare automată de date despre utilizare) folosite atât pentru productivitate, cât și pentru antrenarea AI: dacă nu sunt limitate strict și securizate, pot ajunge să includă și să expună date personale sau confidențiale care nu au legătură cu scopul declarat. [...]
LastPass confirmă că atacatori au accesat date de clienți din mediul său Salesforce , după ce au obținut tokenuri OAuth furate în atacul asupra furnizorului terț Klue, potrivit BleepingComputer . Compania spune că produsele, serviciile și infrastructura sa nu au fost afectate, iar seifurile (vaults) clienților au rămas în siguranță. Incidentul a fost semnalat către LastPass pe 12 iunie, după ce compania a aflat de o breșă la Klue, o platformă de „market intelligence” folosită de echipele sale comerciale și integrată cu Salesforce și Gong. În urma investigației, LastPass afirmă că un actor neautorizat a obținut tokenuri OAuth pe care Klue le deținea pentru mai mulți clienți, inclusiv pentru LastPass, și le-a folosit pentru a accesa date de clienți din mediul Salesforce al LastPass. Ce date ar fi putut fi expuse și de ce contează LastPass spune că ar fi putut fi expuse următoarele categorii de date: nume de clienți; numere de telefon; adrese de e-mail; adrese fizice; informații din tichete/cazuri de suport; date asociate vânzărilor și CRM (Customer Relationship Management – administrarea relațiilor cu clienții). Riscul operațional imediat este creșterea tentativelor de phishing și a atacurilor de inginerie socială, care pot folosi aceste date pentru a face mesajele sau apelurile mai credibile. Recomandarea generală indicată este prudența față de comunicări nesolicitate (telefon/e-mail), mai ales când se cer informații sensibile, iar parola principală (master password) nu ar trebui comunicată nimănui. Ce se știe despre atac și cine l-a revendicat Atacul asupra lanțului de aprovizionare Klue a fost revendicat de grupul de extorcare Icarus , care ar fi compromis infrastructura platformei și ar fi furat tokenuri OAuth ce conectau mediile Salesforce ale clienților. Conform informațiilor prezentate, atacatorii ar fi intrat folosind credențiale vechi compromise pentru un serviciu de integrare, obținând astfel acces la tokenuri OAuth care legau Klue de diverse servicii terțe. Incidentul ar fi afectat mai multe organizații, inclusiv Recorded Future, Tanium, Jamf, Sprout Social, Gong și Insurity, iar atacatorul ar fi exfiltrat date CRM și ar fi lansat o campanie de extorcare. Măsuri luate de LastPass și avertisment privind comunicările LastPass afirmă că a dezactivat accesul angajaților la Klue, a rotit tokenurile API/OAuth expuse și a notificat autoritățile, în timp ce investigația continuă. Compania mai avertizează că actorii de amenințare ar folosi domeniile de expeditor baccarat.com[.]au, robinskitchen.com[.]au și house[.]com.au și că ar trebui considerate de încredere doar comunicările venite prin canalele oficiale de suport ale LastPass. Pentru moment, compania spune că investigația nu a găsit dovezi că atacatorul ar fi accesat date legate de Gong (care includ, de regulă, apeluri și e-mailuri cu clienții). [...]
