-
Похожий контент
-
Автор KL FC Bot
7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
View the full article
-
Автор KL FC Bot
Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
Суть уязвимости CVE-2025-32434
Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
View the full article
-
Автор KL FC Bot
Вы, скорее всего, уже видели свежие новости с заголовками «Самая масштабная утечка в истории человечества». Весь мир переполошился из-за журналистов Cybernews, которые обнаружили в свободном доступе логины и пароли к 16 млрд учетных записей — по две на каждого жителя Земли. Что это за утечка и что нужно сделать прямо сейчас?
Что за утечка? Там есть мои данные?
В оригинальном исследовании сказано, что команда Cybernews занималась этой историей с начала года. За шесть месяцев удалось собрать 30 незащищенных наборов данных, которые суммарно и превращаются в 16 млрд паролей. Самый большой набор данных, 3,5 млрд записей, связан с португалоговорящим населением планеты; еще 455 млн записей имеют отношение к России, а 60 млн — «скорее всего», к Telegram.
База данных построена по такому принципу: URL сайта, логин и пароль. Все, ничего лишнего. При этом сказано, что слиты были данные пользователей всех гигантских сервисов: Apple, Google, Facebook*, Telegram, GitHub и т. д. Удивительно, что в руках журналистов оказались именно пароли, а не хеши. В нашем исследовании Как хакеры могут взломать пароль за час мы подробно останавливались на том, как именно компании хранят пароли. Спойлер: почти всегда в закрытом виде с использованием алгоритмов хеширования.
Особое внимание в этой истории уделено свежести данных: журналисты утверждают, что в 16 млрд не входят самые крупные утечки, про которые мы писали в блоге Kaspersky Daily. За кадром остаются важные вопросы: «откуда появились 16 млрд свежеутекших паролей и почему, кроме Cybernews, их никто не видел?». К большому сожалению, журналисты не предоставили ни одного доказательства реального существования этой базы. Поэтому ни экспертам «Лаборатории Касперского», ни любым другим не удалось проанализировать эту утечку. А значит, и утверждать, есть ли там именно ваши данные, да и вообще чьи-либо, — мы не можем.
По словам Cybernews, весь сбор базы данных был возможен в результате работы стилеров. Это и в самом деле набирающая силы угроза. По нашим данным, количество обнаруженных по всему миру атак, связанных с кражей паролей, выросло с 2023 по 2024 год на 21%. Злоумышленники нацелены как на частных, так и на корпоративных пользователей.
View the full article
-
Автор KL FC Bot
Современный человек практически не расстается со своими девайсами. Согласно исследованию, проведенному в США аналитической компанией Reviews.org, за 2024 год среднестатистический пользователь потратил на смартфон примерно 2,5 месяца жизни. Это колоссальная цифра, показывающая, насколько глубоко мобильные устройства интегрировались в нашу повседневную жизнь.
Цифровой детокс — это модное название простого отдыха от экранов и уведомлений, который пойдет на пользу всем, у кого есть смартфон или ноутбук. Согласно обзору десяти исследований, проведенных с 2013 по 2023 год, цифровой детокс способствует улучшению качества сна, удовлетворенности жизнью и субъективного благополучия, а также помогает уменьшить тревогу, стресс, депрессию и зависимость от телефона. К тому же регулярная цифровая разгрузка помогает восстановить способность мозга к длительной концентрации внимания и глубокой обработке информации.
Однако полное отключение от Сети несет в себе риски для вашей цифровой жизни. Сегодня мы разберемся, как дать голове отдохнуть, сохранив при этом контроль над аккаунтами, устройствами, данными и даже умным домом.
Что может случиться во время цифрового детокса?
Всего предусмотреть невозможно, но «постелить соломку» для минимизации последствий некоторых рисков вам вполне по силам. Что это за риски?
Кража аккаунтов — как обычных, так и экосистемных, вроде аккаунтов «Яндекса», «ВКонтакте», Google, Apple, Samsung, Xiaomi и так далее — через подбор паролей или подмену SIM-карт (SIM Swapping). Несанкционированные подписки и списания средств. Утечка личных данных из-за сливов паролей или отсутствия двухфакторной аутентификации. Угон аккаунтов в мессенджерах и соцсетях. Использование ваших устройств и аккаунтов для рассылки спама. Утеря или кража ваших гаджетов. Бытовые проблемы — взлом квартиры в длительное отсутствие, затопление, утечка газа или пожар.
View the full article
-
Автор KL FC Bot
Можно ли скачать или стереть со смартфона ваши фото и другие данные, пока он заряжается от общественной зарядки — в транспорте, в поликлинике, в аэропорту и так далее? Несмотря на предосторожности производителей, это порой возможно.
Впервые о таких атаках задумались в 2011 году — если невинно выглядящий порт USB-зарядки не просто поставляет электричество, а содержит скрытый компьютер, то он может подключиться к смартфону в режиме передачи данных (Media Transfer Protocol, MTP, или Picture Transfer Protocol, PTP) и скачать часть информации с устройства. Атака получила название Juice-Jacking, а Google с Apple быстро придумали защиту: при подключении к устройству, поддерживающему MTP/PTP, смартфон спрашивает, нужно ли передавать данные, или только заряжаться. На многие годы эта нехитрая предосторожность сняла вопрос с повестки дня, но в 2025 году исследователи из технологического университета Граца (Graz University of Technology) обнаружили, что этот способ защиты можно обойти.
Атака ChoiceJacking
В новых атаках вредоносное устройство, замаскированное под зарядную станцию, само подтверждает, что жертва «хочет» подключиться именно в режиме передачи данных. В зависимости от производителя и версии ОС у атаки есть три разновидности. Все они по-разному обходят одно ограничение протокола USB: устройство не может одновременно подключаться в режиме хоста (компьютера) и периферии (мыши или клавиатуры).
Первая разновидность атаки, эффективная и для iOS, и для Android, наиболее сложна в реализации. Под зарядную станцию нужно замаскировать микрокомпьютер, который умеет подключаться к смартфону под видом USB-клавиатуры, USB-хоста (компьютера) и Bluetooth-клавиатуры.
При подключении смартфона вредоносная зарядная станция притворяется USB-клавиатурой и отправляет с нее команды на включение Bluetooth и подключение к смартфону Bluetooth-устройства — все того же вредоносного комбайна, который теперь прикидывается еще и Bluetooth-клавиатурой. После этого атакующая система переподключается к смартфону по USB, но уже под видом компьютера. На экране возникает вопрос о включении режима передачи данных — и атакующее устройство передает подтверждение с помощью Bluetooth-клавиатуры.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти