Știri
Știri din categoria Securitate cibernetică
O vulnerabilitate dintr-un SDK terț a pus în risc datele a circa 50 de milioane de utilizatori Android, după ce Microsoft a identificat o breșă care permitea ocolirea „sandbox”-ului (izolarea de securitate dintre aplicații), potrivit techradar.com. Miza pentru utilizatori și companii este una operațională: problema nu ține de o singură aplicație, ci de un component reutilizat pe scară largă, ceea ce amplifică riscul în lanțul de aprovizionare software (supply chain).
Vulnerabilitatea a fost găsită în EngageLab SDK, un kit de dezvoltare folosit pentru funcții de „engagement” precum notificări push sau mesaje în aplicație. Cercetătorii Microsoft au descris-o drept o „vulnerabilitate de redirecționare a intent-urilor” (mesaje interne Android folosite pentru comunicarea între aplicații sau componente), care putea permite unei aplicații de pe același dispozitiv să acceseze neautorizat date private.
Potrivit Microsoft, aproximativ 50 de milioane de dispozitive Android rulau aplicații care includeau versiuni vulnerabile ale SDK-ului. Compania nu a numit aplicațiile afectate, dar a precizat că cel puțin 30 de milioane dintre instalări erau în zona aplicațiilor de criptomonede, ceea ce ridică miza prin natura datelor și a tranzacțiilor asociate.
Microsoft a sintetizat riscul astfel:
„Acest caz arată cum slăbiciunile din SDK-uri terțe pot avea implicații de securitate la scară largă, mai ales în sectoare cu valoare ridicată precum administrarea activelor digitale.”
Breșa a fost descoperită în aprilie 2025, în versiunea 4.5.4 a SDK-ului, și a fost remediată în noiembrie 2025, în versiunea 5.2.1. În plus, toate aplicațiile construite cu SDK-ul vulnerabil au fost eliminate din Google Play Store, conform informațiilor din articol.
Microsoft a mai spus că nu a găsit dovezi că vulnerabilitatea ar fi fost exploatată anterior ca „zero-day” (adică înainte de a exista un patch), însă recomandarea pentru dezvoltatori rămâne actualizarea rapidă la cea mai nouă versiune a SDK-ului.
Pentru utilizatori, articolul nu indică pași concreți de verificare a aplicațiilor afectate (Microsoft nu a publicat o listă), ceea ce limitează capacitatea de evaluare individuală a riscului. Pentru dezvoltatori, mesajul este direct: actualizarea EngageLab SDK la o versiune reparată și reevaluarea integrărilor terțe care expun componente „exportate” sau se bazează pe presupuneri de încredere nevalidate între aplicații.
Recomandate
Infectarea a peste 2,3 milioane de dispozitive prin Google Play ridică riscul de fraudă și costuri operaționale pentru utilizatori și companii , după ce aplicații aparent legitime au livrat malware-ul „NoVoice” direct din magazinul oficial, potrivit antena3.ro . Miza practică: compromiterea poate ajunge până la accesarea datelor sensibile, inclusiv din aplicații bancare, iar în unele cazuri eliminarea completă a infecției poate fi dificilă. Malware-ul a fost identificat de cercetătorii McAfee, iar aplicațiile afectate au fost ulterior raportate și eliminate de Google. Autorii nu au fost identificați oficial, însă comportamentul este descris ca fiind similar cu cel al unor grupuri cunoscute, ceea ce a generat avertismente suplimentare pentru utilizatorii Android. De ce contează: atac „din interior” și control extins asupra telefonului Spre deosebire de scenariile obișnuite, în care infectarea vine din instalări din surse externe, de această dată aplicațiile au ajuns în Google Play ca jocuri, aplicații de „curățare” sau galerii foto și funcționau normal la prima vedere. Codul malițios era ascuns și se activa după instalare, ceea ce i-a permis să treacă de verificările inițiale. După deschidere, malware-ul rula în fundal și încerca să exploateze vulnerabilități mai vechi din Android, corectate în intervalul 2016–2021. Dacă obținea acces complet, își ascundea componentele în pachete care păreau legitime și încărca în memorie cod malițios mascat în fișiere aparent inofensive. Ce poate face „NoVoice” pe un dispozitiv compromis Odată activ, malware-ul colectează date despre dispozitiv (detalii hardware, versiunea Android, aplicațiile instalate și statutul de securitate) și le trimite către un server de comandă și control, repetând procesul la fiecare 60 de secunde, împreună cu primirea de instrucțiuni noi. După compromitere, capabilitățile descrise includ: instalarea și ștergerea de aplicații fără știrea utilizatorului; repornirea telefonului pentru reactivarea componentelor; furt de date din aplicații precum WhatsApp și acces la informații sensibile, inclusiv din aplicații bancare; în cazul WhatsApp, extragerea de date suficiente pentru clonarea contului pe alt dispozitiv. Publicația notează și un element operațional important: pentru persistență, malware-ul poate instala scripturi în zone greu accesibile ale sistemului, iar în unele situații nici resetarea la setările din fabrică nu îl elimină complet. Cine este cel mai expus și ce semne pot apărea Potrivit Google, dispozitivele actualizate după mai 2021 sunt protejate, deoarece vulnerabilitățile exploatate au fost corectate. Cele mai expuse rămân telefoanele mai vechi, care nu mai primesc actualizări de securitate. Printre semnele menționate că un telefon ar putea fi infectat: consum neobișnuit de baterie; reporniri neașteptate; aplicații care dispar și reapar singure. În astfel de cazuri, recomandarea este ca dispozitivul să fie deconectat de la internet și verificat de un specialist. [...]
Google extinde criptarea end-to-end din Gmail pe Android și iOS, reducând o vulnerabilitate operațională pentru companiile reglementate , care aveau până acum funcționalitatea doar în versiunea web. Potrivit thenextweb.com , utilizatorii enterprise pot compune și citi mesaje criptate direct în aplicația Gmail, fără software suplimentar, iar implementarea este deja activă atât pentru domeniile „Rapid Release”, cât și pentru „Scheduled Release”. Mutarea contează în special pentru organizațiile care depind de mobil în fluxurile de lucru, dar au obligații stricte de conformitate: până acum, criptarea „end-to-end” (în acest caz, criptare pe dispozitiv, astfel încât Google să nu poată citi conținutul) era disponibilă doar pe desktop web, deși decidenții și echipele lucrează frecvent de pe telefon. Ce se schimbă pentru utilizatorii enterprise Funcționalitatea se bazează pe „client-side encryption” (criptare pe partea clientului), adică mesajul și atașamentele sunt criptate pe dispozitiv înainte de a fi trimise, iar serverele Google văd doar date criptate. Pentru utilizare pe mobil, administratorii IT trebuie să activeze explicit opțiunea pentru Android și iOS din consola de administrare Google Workspace. În practică, experiența diferă în funcție de destinatar: dacă destinatarul folosește aplicația Gmail cu criptarea activată, mesajul se afișează ca un fir de e-mail obișnuit, cu decriptare „transparentă” pentru utilizator; dacă destinatarul nu folosește Gmail, primește un link către un portal web securizat, unde poate citi și răspunde din orice browser, fără cont Gmail. Limitări și implicații operaționale O constrângere importantă pentru companii este limita de dimensiune a atașamentelor: sub criptarea pe dispozitiv, aceasta scade la 5 MB, față de limita standard de 25 MB din Gmail. Asta poate afecta procedurile interne (trimiterea de documente, rapoarte, fișiere scanate) și necesită comunicare și instruire înainte de extinderea funcției către utilizatori. Cine are acces și de ce contează în achiziții Accesul este limitat la Google Workspace Enterprise Plus, cu add-on-ul Assured Controls sau Assured Controls Plus — pachete orientate spre conformitate (localizarea datelor, controale de export, restricții privind accesul angajaților Google la date). Ținta sunt industriile reglementate, precum servicii financiare și sănătate, dar și organizații cu cerințe de suveranitate a datelor. În acest context, extinderea pe mobil închide un dezavantaj competitiv: până acum, lipsa suportului în aplicațiile Android și iOS putea conta în discuțiile de achiziție, unde comunicarea criptată și administrarea dispozitivelor mobile sunt criterii explicite. Ce urmează Cronologia descrisă de publicație indică o extindere treptată: lansare pe web în aprilie 2025, suport pentru destinatari externi în octombrie 2025, iar acum mobil în aprilie 2026. Rămâne neclar dacă și când Google va oferi criptarea end-to-end și în afara segmentului Enterprise Plus; pentru consumatori și firme mici, funcția nu este disponibilă, ceea ce o păstrează ca diferențiator premium, nu ca opțiune generală de confidențialitate. [...]
O nouă platformă de phishing numită „VENOM” vizează conturile Microsoft ale executivilor de top , potrivit BleepingComputer . Atacurile urmăresc furtul de credențiale pentru persoane din conducerea companiilor (CEO, CFO, vicepreședinți) din mai multe industrii, iar operațiunea ar fi activă cel puțin din noiembrie anul trecut. Platforma este descrisă ca un serviciu de tip „phishing-as-a-service” (PhaaS), adică o infrastructură „la cheie” pe care infractorii o pot folosi pentru a derula campanii de furt de date de autentificare. Cercetătorii citați de publicație spun că VENOM pare să fie cu acces restricționat, nefiind promovat pe canale publice sau pe forumuri clandestine, ceea ce îi reduce vizibilitatea pentru comunitatea de securitate. Cum arată lanțul de atac: de la e-mail la furtul sesiunii Cercetătorii companiei de securitate Abnormal au observat e-mailuri care imitau notificări Microsoft SharePoint privind partajarea de documente, prezentate ca parte a comunicării interne. Mesajele sunt personalizate și includ „zgomot” în codul HTML (de exemplu clase CSS false și comentarii), plus fire de conversație fabricate, adaptate țintei, pentru a crește credibilitatea. Un element central este folosirea unui cod QR redat în Unicode, pe care victima este îndemnată să îl scaneze pentru „acces”. Scopul este ocolirea unor mecanisme automate de analiză a linkurilor și mutarea interacțiunii pe dispozitive mobile, unde controalele pot fi diferite față de cele de pe stațiile de lucru din companie. „Fragmentele nu sunt niciodată transmise în cererile HTTP, făcând e-mailul țintei invizibil pentru jurnalele de pe server și pentru fluxurile de reputație ale URL-urilor”, explică cercetătorii Abnormal. Tehnici folosite: AiTM și „device code”, cu impact asupra MFA După scanarea codului QR, victima ajunge pe o pagină intermediară care filtrează cercetătorii și mediile de analiză (sandbox), astfel încât doar țintele „reale” să fie redirecționate către pagina de phishing. Utilizatorii care nu sunt de interes sunt trimiși către site-uri legitime, pentru a reduce suspiciunile. Pentru colectarea datelor, VENOM folosește o metodă de tip „adversary-in-the-middle” (AiTM), în care atacatorul intermediază în timp real fluxul de autentificare Microsoft, retransmițând credențialele și codurile de autentificare multifactor (MFA) către interfețele Microsoft și capturând „tokenul de sesiune” (cheia care poate menține accesul fără reintroducerea parolei). Separat, Abnormal a observat și o tactică de tip „device-code phishing”, în care victima este păcălită să aprobe accesul la cont pentru un dispozitiv controlat de atacator. În ambele scenarii, obiectivul este obținerea rapidă a accesului persistent în timpul autentificării: fie prin înregistrarea unui dispozitiv nou în contul victimei (în fluxul AiTM), fie prin obținerea unui token care oferă acces (în fluxul „device code”). Cercetătorii avertizează că MFA, de una singură, nu mai este suficientă și recomandă autentificare FIDO2 (chei de securitate sau metode rezistente la phishing), dezactivarea fluxului „device code” când nu este necesar și politici mai stricte de acces condiționat pentru a limita abuzul de tokenuri. [...]
Comisia Europeană a confirmat o breșă care a afectat site-ul UE și a dus la scurgeri de date . Instituția a anunțat că, pe 24 martie, a constatat compromiterea unui cont Amazon Web Services (AWS) folosit în cadrul Comisiei, incident care a avut impact asupra infrastructurii asociate site-ului Uniunii Europene. Publicația notează că, potrivit BleepingComputer , gruparea de criminalitate cibernetică ShinyHunters a actualizat informațiile publicate pe darknet și susține că a obținut date sensibile din mediile Comisiei Europene. Printre acestea ar fi servere de e-mail, baze de date, documente confidențiale și contracte, cu un volum total de peste 350 GB. Pentru a-și susține afirmațiile, ShinyHunters ar fi făcut public un eșantion de peste 90 GB de date. În paralel, Comisia Europeană a transmis că echipele de securitate au intervenit rapid după detectarea atacului și au reușit să oprească activitatea atacatorilor fără a afecta funcționarea normală a site-ului UE. Conform reacției oficiale citate, o evaluare preliminară indică faptul că datele publicate de ShinyHunters provin într-adevăr din sistemele asociate site-ului UE, iar analiza privind amploarea și consecințele incidentului este în desfășurare. Incidentul vine după un alt eveniment de securitate recent, menționat de IT之家: în urmă cu aproximativ două luni, infrastructura platformei de administrare a dispozitivelor mobile (MDM, soluții folosite pentru gestionarea centralizată a telefoanelor și tabletelor de serviciu) ar fi fost atacată, existând riscul ca nume și numere de telefon ale unor angajați să fi fost expuse. [...]
Iranul amenință direct giganți tehnologici americani cu atacuri asupra infrastructurii din Orientul Mijlociu , potrivit Tom’s Hardware , într-o escaladare a tensiunilor dintre Teheran și Occident. Mesajul atribuit Gardienilor Revoluției (IRGC) vizează companii precum Nvidia, Microsoft, Apple, Google, Meta, IBM, Cisco și Tesla. Declarația, transmisă prin canale oficiale, indică faptul că aceste companii ar putea deveni ținte, în special facilitățile lor din Orientul Mijlociu. Oficialii iranieni susțin că reacția ar veni ca răspuns la ceea ce numesc „acte de agresiune” împotriva Iranului. Companiile vizate Lista include aproximativ 18 companii din tehnologie și sectorul financiar, printre care: Nvidia Microsoft Apple Google Meta IBM Cisco Tesla Acestea au infrastructură sau operațiuni în regiune, ceea ce le face vulnerabile în contextul actual. O escaladare a retoricii Deși astfel de avertismente au mai fost emise anterior, noul mesaj este considerat mai direct și mai explicit. IRGC a transmis inclusiv avertismente pentru angajații acestor companii, sugerând să își părăsească locurile de muncă pentru a evita riscuri. Context geopolitic tensionat Amenințările apar pe fondul conflictelor din Orientul Mijlociu și al acuzațiilor reciproce între Iran și SUA sau aliații săi. În ultimele zile, autoritățile iraniene au extins lista țintelor considerate „legitime”, incluzând și entități economice. Nu există, în acest moment, informații privind măsuri concrete sau reacții oficiale din partea companiilor vizate, însă situația indică o posibilă extindere a conflictului din zona militară către infrastructura economică și tehnologică. Evoluțiile ulterioare vor depinde de reacțiile internaționale și de modul în care tensiunile vor fi gestionate în perioada următoare. [...]
OpenAI își schimbă rapid fluxul de semnare pentru aplicațiile macOS, după ce a depistat o vulnerabilitate într-un instrument terț folosit în lanțul său de dezvoltare , într-un caz care arată cât de expuse pot fi companiile la atacuri de tip „supply chain” (compromiterea furnizorilor/depedențelor software), potrivit economedia.ro . Compania spune că nu a găsit dovezi că datele utilizatorilor au fost accesate și nici că sistemele, proprietatea intelectuală sau software-ul său au fost modificate. Incidentul este legat de Axios, o bibliotecă de dezvoltare terță parte utilizată pe scară largă, pe care OpenAI afirmă că a fost compromisă pe 31 martie, într-un atac mai amplu asupra lanțului de aprovizionare software, atribuit unor actori despre care se crede că au legături cu Coreea de Nord. În urma compromiterii, un flux de lucru GitHub Actions folosit de OpenAI ar fi descărcat și executat o versiune malițioasă a Axios. Ce a fost expus și ce spune OpenAI că nu s-a întâmplat Potrivit companiei, fluxul de lucru afectat avea acces la un certificat și la materiale de autentificare folosite pentru semnarea aplicațiilor macOS (procesul prin care sistemul de operare poate verifica dacă aplicația provine de la un dezvoltator legitim). Sunt menționate explicit aplicațiile ChatGPT Desktop, Codex, Codex-cli și Atlas. OpenAI afirmă că analiza internă a concluzionat că certificatul de semnare prezent în acel flux de lucru „probabil” nu a fost exfiltrat (extras) cu succes de încărcătura malițioasă. Totodată, compania spune că parolele și cheile API (chei de acces pentru integrarea serviciilor) nu au fost afectate. Măsuri operaționale: actualizări obligatorii și suport tăiat pentru versiunile vechi OpenAI anunță că își actualizează certificările de securitate și le cere tuturor utilizatorilor de macOS să își actualizeze aplicațiile OpenAI la cele mai recente versiuni, pentru a reduce riscul distribuirii unor aplicații false. O consecință concretă pentru utilizatori și organizații: începând cu 8 mai, versiunile mai vechi ale aplicațiilor desktop macOS ale OpenAI nu vor mai primi actualizări sau asistență și „s-ar putea să nu mai fie funcționale”, conform companiei. OpenAI mai precizează că incidentul a avut drept cauză principală o configurare greșită în fluxul de lucru GitHub Actions, care a fost remediată. [...]
