Știri
Știri din categoria Securitate cibernetică
O versiune nouă a kitului de exploatare DarkSword a fost publicată pe GitHub, ceea ce poate facilita atacuri asupra iPhone-urilor și iPad-urilor care rulează versiuni mai vechi de iOS, potrivit TechCrunch.
Publicarea vine la scurt timp după ce cercetători în securitate cibernetică au descoperit o campanie de atacuri care viza utilizatori de iPhone și folosea DarkSword, un instrument avansat de hacking. Acum, o versiune mai nouă a acestui set de instrumente ar fi fost scursă și pusă la dispoziție public, pe o platformă de partajare a codului.
Cercetătorii avertizează că scurgerea ar putea permite oricărui atacator să vizeze utilizatorii care nu au făcut actualizarea la iOS 26. Conform datelor Apple despre dispozitive neactualizate, impactul potențial ar putea ajunge la sute de milioane de iPhone-uri și iPad-uri aflate încă în uz.
Matthias Frielingsdorf, cofondator al companiei de securitate mobilă iVerify, a declarat pentru TechCrunch că fișierele sunt „mult prea ușor de reutilizat” și că situația „nu mai poate fi ținută sub control”, ceea ce ar însemna că infractorii cibernetici ar putea începe să le folosească pe scară mai largă. El susține că noile versiuni DarkSword folosesc aceeași infrastructură ca cele analizate anterior de echipa sa, deși fișierele diferă ușor.
Frielingsdorf spune că materialele încărcate sunt simple, în principal HTML și JavaScript, ceea ce ar permite copierea și găzduirea lor pe un server în „câteva minute până la câteva ore”. În evaluarea sa, „exploatările funcționează imediat” și „nu este nevoie de expertiză iOS”, adică nu ar fi necesare cunoștințe avansate despre sistemul de operare pentru a lansa atacul.
O poziție similară a fost transmisă de Google. Kimberly Samra, purtător de cuvânt al companiei, a spus că cercetătorii Google sunt de acord cu evaluarea iVerify, notează Google Cloud, care analizase anterior lanțul de exploatare DarkSword.
Un pasionat de securitate care folosește pseudonimul matteyeux a declarat, de asemenea, pentru TechCrunch că folosirea mostrelor scurse este trivială și a susținut că a reușit să compromită o tabletă iPad mini cu iOS 18 folosind o mostră DarkSword „din mediul real” care circulă online, potrivit unei postări pe X citate de X.
Apple a confirmat că știe despre exploatarea care vizează dispozitive cu sisteme de operare vechi și a anunțat că a emis pe 11 martie o actualizare de urgență pentru dispozitivele care nu pot rula versiuni recente de iOS. Un purtător de cuvânt al companiei a reiterat că actualizarea software este „cel mai important” pas pentru securitatea produselor Apple și că dispozitivele la zi nu ar fi expuse acestor atacuri; compania a indicat și că „Lockdown Mode” ar bloca aceste atacuri, conform TechCrunch.
TechCrunch precizează că nu publică link către codul scurs, deoarece poate fi folosit în atacuri active. Din descrierea publicației, comentariile din cod ar explica modul de funcționare și implementare, inclusiv exfiltrarea (copierea și trimiterea neautorizată) unor fișiere relevante pentru investigații criminalistice digitale de pe dispozitive iOS prin HTTP, precum și activități „post-exploatare” care ar viza contacte, mesaje, istoricul apelurilor și iOS Keychain (componenta care stochează parole Wi‑Fi și alte secrete).
Potrivit iVerify, Google și Lookout, DarkSword ar funcționa în mod specific împotriva dispozitivelor cu iOS 18. Conform Apple, aproximativ un sfert dintre utilizatorii de iPhone și iPad ar rula încă iOS 18 sau o versiune mai veche; raportat la peste 2,5 miliarde de dispozitive active, menționate de Apple Newsroom, asta ar însemna un bazin de „sute de milioane” de dispozitive potențial vulnerabile, dacă nu sunt actualizate.
Un purtător de cuvânt al Microsoft, compania care deține GitHub, nu a răspuns imediat unei solicitări de comentariu, mai notează TechCrunch. În context, publicația amintește că DarkSword a fost asociat anterior cu atacuri atribuite unor hackeri ai guvernului rus împotriva țintelor ucrainene și că apariția sa urmează după descoperirea unui alt set avansat de instrumente pentru iPhone, Coruna, despre care TechCrunch a relatat că ar fi fost dezvoltat inițial de contractorul de apărare L3Harris.
Recomandate
Președintele Nicușor Dan cere un răspuns european coordonat la dezinformare și atacuri cibernetice , argumentând că aceste riscuri sunt „amenințări interconectate” și pot produce vulnerabilități pe termen lung dacă nu sunt abordate prin cooperare între state, potrivit Agerpres . Mesajul a fost transmis luni, într-o postare pe Facebook, după ce șeful statului a co-prezidat la summitul Comunității Politice Europene (CPE) o masă rotundă dedicată „consolidării rezilienței democratice și abordării amenințărilor hibride”, alături de președintele Muntenegrului, Jakov Milatovic. Ce tip de măsuri indică președintele În postarea citată, Nicușor Dan a enumerat direcții pe care le consideră necesare pentru a limita efectele dezinformării și ale amenințărilor hibride: instituții mai puternice; cooperare transfrontalieră; alfabetizare media; monitorizarea evoluțiilor tehnologice, inclusiv în domeniul inteligenței artificiale. „Riscurile de astăzi nu trebuie să devină vulnerabilitățile structurale de mâine”, a scris președintele. Context: summitul CPE și deplasarea la Erevan Nicușor Dan a participat luni, la Erevan, la cea de-a VIII-a ediție a summitului Comunității Politice Europene. Potrivit informațiilor din material, grupul a fost înființat în 2024, la inițiativa comună a României și Franței, cu obiectivul de a consolida sprijinul internațional pentru Republica Moldova. Totodată, Agerpres notează că duminică președintele s-a deplasat în Armenia împreună cu președinta Republicii Moldova, Maia Sandu . [...]
GitHub a remediat în martie o vulnerabilitate critică de execuție de cod la distanță (RCE) care putea oferi acces cu drepturi complete la milioane de depozite private , iar riscul operațional rămâne ridicat pentru companiile care rulează GitHub Enterprise Server și nu au aplicat încă actualizările, potrivit BleepingComputer . Vulnerabilitatea, urmărită ca CVE-2026-3854 , a fost raportată pe 4 martie 2026 de cercetători ai firmei Wiz prin programul de recompense pentru raportarea de erori (bug bounty). GitHub spune că echipa sa de securitate a reprodus și confirmat problema în 40 de minute și a implementat o remediere pe GitHub.com în mai puțin de două ore de la primirea raportului. De ce contează pentru companii: acces complet la cod și secrete interne Exploatarea reușită ar fi necesitat un singur „git push” construit malițios și putea oferi atacatorilor acces complet de citire/scriere la depozite private pe GitHub.com sau pe servere GitHub Enterprise vulnerabile, în cazul în care atacatorul avea deja drepturi de „push”. Potrivit explicațiilor GitHub, problema ținea de modul în care platforma gestiona opțiuni furnizate de utilizator în timpul operațiunilor „git push”: anumite valori ajungeau în metadate interne fără o filtrare suficientă, permițând injectarea unor câmpuri suplimentare care erau apoi considerate de încredere de un serviciu din aval. În acest fel, un atacator ar fi putut ocoli mecanismele de izolare (sandbox) și executa cod arbitrar pe serverul care procesa operațiunea. Ce a constatat Wiz și ce spune GitHub despre exploatare Wiz a descris vulnerabilitatea drept una dintre cele mai severe probleme de securitate întâlnite într-un serviciu de tip SaaS (software livrat ca serviciu), prin potențialul de expunere a bazelor de cod ale marilor companii. Într-un raport publicat marți de Wiz, cercetătorul Sagi Tzadik a afirmat că, pe GitHub.com, vulnerabilitatea permitea execuție de cod la distanță pe noduri de stocare partajate și că „milioane de depozite publice și private” aparținând altor utilizatori și organizații erau accesibile pe nodurile afectate. Pentru GitHub Enterprise Server, aceeași vulnerabilitate ar fi permis compromiterea completă a serverului, inclusiv acces la toate depozitele găzduite și la secrete interne. GitHub afirmă însă că o investigație criminalistică nu a găsit dovezi de exploatare înainte de dezvăluirea Wiz și că datele de telemetrie au indicat că toate declanșările traseului de cod anormal au fost generate exclusiv de testele cercetătorilor Wiz. Compania mai spune că nu au fost accesate, modificate sau exfiltrate date ale clienților înainte ca remedierea să fie implementată pe GitHub.com. Cine este afectat și ce actualizări sunt necesare CVE-2026-3854 afectează: GitHub.com GitHub Enterprise Cloud (inclusiv variantele cu Data Residency și Enterprise Managed Users) GitHub Enterprise Server (GHES) Pentru GitHub Enterprise Server, GitHub a publicat actualizări pentru toate versiunile suportate, indicând explicit următoarele versiuni cu patch: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 sau mai noi, potrivit postării GitHub despre incident ( GitHub Blog ). Wiz a avertizat că, deși GitHub a remediat problema pe GitHub.com în decurs de șase ore, administratorii GHES ar trebui să facă upgrade „imediat”, susținând că aproximativ 88% dintre instanțele GHES accesibile public rămân vulnerabile (detalii în analiza Wiz: Wiz ). [...]
Arestarea în România pe baza unui mandat european arată cât de rapid poate funcționa cooperarea transfrontalieră în fraude cibernetice cu bani , după ce un român de 33 de ani, urmărit de autoritățile din Islanda, a fost prins și arestat preventiv în vederea extrădării, potrivit Digi24 . Bărbatul este cercetat de autoritățile islandeze după ce, în perioada 23–27 aprilie, ar fi exploatat o vulnerabilitate din sistemul informatic al unei instituții bancare din Islanda și ar fi transferat ilegal sume de bani. Prejudiciul este estimat la aproximativ 400.000 de euro (aprox. 2,0 milioane lei). Potrivit informațiilor transmise de Poliția Română, polițiștii Serviciului Urmăriri, sub coordonarea procurorului de caz de la Parchetul de pe lângă Curtea de Apel București , au pus în executare un mandat european de arestare emis de autoritățile judiciare din Islanda. Românul era urmărit internațional pentru fraudă și spălare de bani. Cooperare internațională și extrădare Cazul a fost gestionat prin mecanisme de cooperare polițienească internațională, cu schimb de date și informații între autoritățile din România și Islanda, inclusiv prin canale de cooperare europeană și prin Sistemul de Informații Schengen. După reținere, Curtea de Apel București a decis arestarea preventivă pentru 30 de zile, în vederea extrădării. Poliția Română a precizat că își continuă cooperarea cu partenerii internaționali pentru clarificarea tuturor aspectelor cauzei și pentru punerea în executare a măsurilor dispuse de autoritățile judiciare. [...]
Google împinge autentificarea fără parolă și recuperarea contului ca măsuri „de bază” pentru reducerea riscului de compromitere, într-un set de cinci instrumente pe care utilizatorii le pot activa în contul Google, potrivit Google Blog . Mesajul central: securizarea accesului nu mai depinde doar de „o parolă bună”, ci de metode mai greu de interceptat sau reutilizat și de opțiuni de recuperare care limitează blocarea definitivă a contului. Lista vine în contextul Zilei Mondiale a Parolei și vizează, în principal, scăderea expunerii la atacuri bazate pe parole (ghicire, reutilizare, furt) și creșterea rezilienței contului atunci când utilizatorul își pierde dispozitivul sau datele de autentificare. Ce se schimbă operațional pentru utilizatori: autentificare cu „passkeys” și verificare în doi pași Primul instrument recomandat este folosirea „passkeys” (chei de acces) pentru conturile Google. Google descrie passkeys ca o metodă „mai ușoară și mai sigură” decât parolele și chiar decât unele metode tradiționale de autentificare multifactor, precum codurile de unică folosință. Autentificarea se face prin blocarea ecranului dispozitivului (amprentă, recunoaștere facială sau PIN), iar Google susține că datele biometrice rămân pe dispozitiv și nu sunt partajate cu compania. Al doilea pas este activarea 2-Step Verification (verificare în doi pași, 2SV) ca măsură suplimentară, inclusiv atunci când utilizatorul folosește passkeys. Argumentul din material: dacă cineva încearcă să se dea drept utilizator și pretinde că a pierdut passkey-ul, 2SV adaugă un strat de protecție multifactor. Recuperarea contului și reducerea „suprafeței” de parole Google recomandă și configurarea „Recovery Contacts” (contacte de recuperare) pentru situații precum pierderea telefonului. Utilizatorul poate desemna persoane de încredere care să ajute la confirmarea identității în caz de blocare a accesului. Publicația precizează două limite importante: pot fi setate până la 10 contacte, iar acestea nu primesc acces la cont sau la informațiile personale. Pentru autentificarea în aplicații și site-uri terțe, compania promovează „Sign in with Google” (Conectare cu Google), ca alternativă la crearea de conturi noi cu utilizator și parolă. Rațiunea invocată este reducerea numărului de parole stocate în diverse servicii, ceea ce poate limita expunerea dacă o altă platformă are un incident de securitate; utilizatorul poate revizui și revoca accesul aplicațiilor oricând. A cincea recomandare este folosirea Google Password Manager pentru generarea, salvarea și administrarea parolelor și passkeys pentru alte conturi, cu stocare și sincronizare între dispozitive și completare automată la autentificare. Cele cinci instrumente, pe scurt Passkeys pentru Contul Google (autentificare cu blocarea ecranului dispozitivului) 2-Step Verification (2SV) ca strat suplimentar de protecție Recovery Contacts (până la 10 contacte de recuperare) „Sign in with Google” pentru aplicații și site-uri terțe Google Password Manager pentru parole și passkeys, cu sincronizare între dispozitive Google nu oferă în material date cantitative despre adopție sau eficiență (de exemplu, scăderi măsurate ale compromiterilor), dar poziționează aceste setări ca actualizări rapide care pot crește securitatea autentificării și șansele de recuperare a accesului pe termen lung. [...]
Un singur GPU de top poate sparge în masă parolele protejate cu MD5, iar testele Kaspersky arată că riscul rămâne practic neschimbat față de acum doi ani , potrivit IT Home , care citează un raport publicat de companie cu ocazia Zilei Mondiale a Parolei (7 mai). Kaspersky spune că a luat un eșantion de 231 de milioane de parole diferite, scurse pe dark web, le-a transformat în valori „hash” (amprentă criptografică) folosind MD5 și a testat cât de repede pot fi recuperate parolele originale cu o singură placă video Nvidia GeForce RTX 5090. Rezultatul: 60% dintre parole au putut fi sparte în mai puțin de o oră . În urmă cu doi ani, proporția raportată era 59% — o diferență mică procentual, dar care, la scara eșantionului, înseamnă „încă” milioane de parole care intră în zona ușor de compromis. De ce contează: MD5 e „prea rapid” pentru stocarea parolelor Publicația explică faptul că MD5 este un algoritm vechi de tip hash, folosit mult timp pentru verificarea integrității fișierelor sau eliminarea duplicatelor, tocmai pentru că se calculează foarte repede. Problema, în contextul parolelor, este exact această viteză: dacă o bază de date cu parole ajunge să fie furată, un atacator poate folosi puterea de calcul a unui GPU pentru a încerca rapid miliarde de variante pe secundă și a compara rezultatele. Materialul mai punctează o confuzie frecventă: MD5 nu este „criptare” (nu poate fi „decriptat”), ci hash unidirecțional. Totuși, faptul că nu e reversibil nu îl face automat sigur pentru parole, dacă este suficient de rapid încât să permită atacuri de tip „forță brută” (încercări repetate până la găsirea variantei corecte). Recomandările Kaspersky: algoritmi dedicați și autentificare mai puternică Kaspersky recomandă renunțarea la MD5 pentru parole și trecerea la scheme de hash concepute special pentru stocarea parolelor, precum bcrypt sau Argon2 , care sunt intenționat mai lente și mai „costisitoare” computațional, tocmai pentru a crește timpul și costul unui atac. Pe lângă schimbarea algoritmului, compania recomandă: activarea autentificării multifactor (MFA) ; folosirea „passkey” acolo unde este posibil (metodă de autentificare care înlocuiește parola cu chei criptografice legate de dispozitiv). Raportul Kaspersky menționat de IT Home este disponibil și în comunicatul companiei: Kaspersky . [...]
O vulnerabilitate critică permite preluarea completă de la distanță a roboților de tuns iarba Yarbo , inclusiv controlul navigației și al lamelor, cu acces la camere și la parolele Wi‑Fi ale utilizatorilor, potrivit WinFuture . Miza este una operațională și de securitate: dispozitive grele, conectate la internet, pot deveni atât risc fizic, cât și „poartă” către rețeaua de acasă. Cercetătorul german în securitate Andreas Makris a identificat problema în arhitectura software: fiecare robot Yarbo rulează o instalare completă de Linux cu un „root password” (parola contului de administrator) integrat. La analiză, Makris a constatat că parola este identică la toate modelele, la nivel global, iar proprietarii nu o pot schimba permanent. Mai mult, la fiecare actualizare de firmware, parola revine automat la valoarea standard. În aceste condiții, Makris spune că a obținut acces la mii de dispozitive active din întreaga lume. Roboții cântăresc aproximativ 90 kg și costă 5.000 de dolari (aprox. 23.000 lei), iar controlul de la distanță ar acoperi atât deplasarea, cât și funcționarea lamelor. Ce poate obține un atacator Conform unui material The Verge , citat de WinFuture, demonstrația pe dispozitive reale arată că un atacator ar putea: prelua controlul complet al robotului; accesa imagini de la camere; extrage date ale utilizatorilor, inclusiv coordonate GPS, adrese de e-mail și parolele Wi‑Fi; folosi robotul, teoretic, ca punct de plecare pentru atacuri asupra rețelei domestice. Numărul exact al modelelor afectate nu este precizat. Reacția Yarbo și ce rămâne nerezolvat Inițial, Yarbo ar fi descris accesul remote nelimitat drept o funcție intenționată pentru diagnoză tehnică. Ulterior, pe fondul presiunii publice, compania a anunțat că va securiza mai bine comunicația dintre aplicația de smartphone și serverele sale. Totuși, vulnerabilitățile mai profunde din firmware rămân, deocamdată, neadresate, iar un update complet de securitate „încă lipsește”, ceea ce înseamnă că dispozitivele rămân atacabile. Îngrijorări suplimentare privind datele Investigația mai indică faptul că roboții trimit o parte din datele de telemetrie către ByteDance , către servere din China, fără consimțământ explicit din partea utilizatorilor. WinFuture notează că Yarbo își declară sediul în New York, dar operează în principal din Shenzhen, China, ceea ce amplifică riscurile de confidențialitate asociate transferului de date. [...]
