Trong khi chiến tranh Israel-Hamas đang tiếp diễn, với binh lính Israel tiến vào Dải Gaza và vây hãm Thành phố Gaza, một công nghệ đang có tác động lớn đến cách chúng ta nhìn thấy và hiểu về cuộc chiến. Ứng dụng nhắn tin Telegram, với lịch sử thiếu chặt chẽ trong việc kiểm duyệt, đã được Hamas sử dụng để chia sẻ những hình ảnh và video kinh khủng. Thông tin sau đó đã lan ra các mạng xã hội khác và tiếp cận hàng triệu người. Nguồn tin cho biết Telegram đã được “vũ khí hóa” để lan truyền những trận đồ hãi hùng khủng bố.
Microsoft đã trải qua một vài tháng khó khăn về mặt bảo mật của chính công ty, với những hacker được tài trợ bởi Trung Quốc đã đánh cắp khóa ký chữ mã hóa của họ, vấn đề liên quan đến máy chủ Exchange của Microsoft và khách hàng của họ chịu ảnh hưởng do những sai sót. Công ty đã công bố một kế hoạch để đối phó với sự gia tăng không ngừng của các mối đe dọa. Đó là Sáng kiến Tương lai An toàn, kế hoạch này định hướng, trong số nhiều yếu tố khác, sử dụng công cụ dựa trên trí tuệ nhân tạo, cải thiện quá trình phát triển phần mềm và rút ngắn thời gian phản ứng đối với các lỗ hổng.
Trong tuần này, chúng tôi đã xem xét các quy định về quyền riêng tư của Bluesky, Mastodon và Threads của Meta khi tất cả các nền tảng truyền thông xã hội đều cạnh tranh để có chỗ đứng trong một thế giới mà X, trước đây là Twitter, tiếp tục sụp đổ. Và không phải là điều tốt đẹp với thế hệ thứ tiếp của mạng xã hội này. Với việc đến tháng 11, chúng tôi đã có một bản phân tích chi tiết về các lỗ hổng bảo mật và các bản vá được phát hành trong tháng trước. Microsoft, Google, Apple và các công ty doanh nghiệp Cisco, VMWare và Citrix đều đã sửa các lỗi bảo mật lớn trong tháng 10.
Và còn nhiều hơn thế. Mỗi tuần, chúng tôi tóm lược những tin tức về bảo mật và quyền riêng tư mà chúng tôi chưa đề cập đến một cách chi tiết. Nhấp vào tiêu đề để đọc toàn văn câu chuyện và hãy giữ an toàn.
Flipper Zero là một công cụ thử nghiệm hack đa năng được thiết kế cho các nhà nghiên cứu bảo mật. Thiết bị kiểm tra kích cỡ nhỏ có thể chặn và phát lại tất cả các tín hiệu không dây như NFC, hồng ngoại, RFID, Bluetooth và Wi-Fi. Điều này có nghĩa là có thể đọc chip điện tử và kiểm tra tín hiệu được phát từ các thiết bị. Một cách ít đáng nghi là chúng tôi đã phát hiện Flipper Zero có thể dễ dàng sao chép thẻ vào tòa nhà và đọc thông tin thẻ tín dụng qua quần áo của người khác.
Trong vài tuần qua, Flipper Zero, có giá khoảng 170 đô la, đã thu hút sự chú ý bởi khả năng làm gián đoạn iPhone, đặc biệt là bằng cách gửi chúng vào vòng lặp từ chối dịch vụ (DoS). Theo như báo cáo của Ars Technica, Flipper Zero, với một số phần mềm tùy chỉnh, có khả năng gửi “một luồng thông báo liên tục” yêu cầu iPhone kết nối qua các thiết bị Bluetooth như Apple TV hoặc AirPods. Khối lượng thông báo tràn đầy, được gửi bởi một Flipper Zero gần đó, có thể làm cho iPhone quá tải và gần như không thể sử dụng được.
“Điện thoại của tôi nhận các cửa sổ pop-up này mỗi vài phút, sau đó điện thoại của tôi sẽ khởi động lại”, nhà nghiên cứu bảo mật Jeroen van der Ham chia sẻ về một cuộc tấn công DoS mà anh gặp phải khi di chuyển ở Hà Lan. Sau đó, anh đã tái tạo cuộc tấn công trong một môi trường phòng thí nghiệm, trong khi các nhà nghiên cứu bảo mật khác cũng đã thực hiện khả năng gửi thư rác trong những tuần gần đây. Trong các thử nghiệm của van der Ham, cuộc tấn công chỉ hoạt động trên các thiết bị chạy iOS 17 – và hiện tại, cách duy nhất để ngăn chặn cuộc tấn công là tắt Bluetooth.
Năm 2019, những hacker liên kết với cơ quan tình báo của Nga đã xâm nhập vào mạng của công ty phần mềm SolarWinds, cài đặt một cánh cửa sau và cuối cùng xâm nhập vào hàng ngàn hệ thống. Tuần này, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ buộc tội Tim Brown, Giám đốc bảo mật thông tin của SolarWinds và công ty này, với tội lừa dối và “thiếu sót trong kiểm soát nội bộ”. Ủy ban Chứng khoán và Giao dịch cho biết Brown và công ty đã nói quá về các phương pháp bảo mật của
Nguồn: https://www.wired.com/story/flipper-zero-iphone-dos-attack-security-roundup/
As the Israel-Hamas war continues, with Israeli troops moving into the Gaza Strip and encircling Gaza City, one piece of technology is having an outsized impact on how we see and understand the war. Messaging app Telegram, which has a history of lax moderation, has been used by Hamas to share gruesome images and videos. The information has then spread to other social networks and millions more eyeballs. Sources tell WIRED that Telegram has been weaponized to spread horrific propaganda.
Microsoft has had a hard few months when it comes to the company’s own security, with Chinese-backed hackers stealing its cryptographic signing key, continued issues with Microsoft Exchange Servers, and its customers being impacted by failings. The company has now unveiled a plan to deal with the ever-growing range of threats. It’s the Secure Future Initiative, which plans, among multiple elements, to use AI-driven tools, improve its software development, and shorten its response time to vulnerabilities.
Also this week, we’ve looked at the privacy practices of Bluesky, Mastodon, and Meta’s Threads as all of the social media platforms jostle for space in a world where X, formerly known as Twitter, continues to implode. And things aren’t exactly great with this next generation of social media. With November arriving, we now have a detailed breakdown of the security vulnerabilities and patches issued last month. Microsoft, Google, Apple, and enterprise firms Cisco, VMWare, and Citrix all fixed major security flaws in October.
And there’s more. Each week, we round up the security and privacy news we didn’t cover in depth ourselves. Click the headlines to read the full stories, and stay safe out there.
The Flipper Zero is a versatile hacking tool designed for security researchers. The pocket-size pen-testing device can intercept and replay all kinds of wireless signals—including NFC, infrared, RFID, Bluetooth, and Wi-Fi. That means it’s possible to read microchips and inspect signals being admitted from devices. Slightly more nefariously, we’ve found it can easily clone building-entry cards and read credit card details through people’s clothes.
Over the last few weeks, the Flipper Zero, which costs around $170, has been gaining some traction for its ability to disrupt iPhones, particularly by sending them into denial of service (DoS) loops. As Ars Technica reported this week, the Flipper Zero, with some custom firmware, is able to send “a constant stream of messages” asking iPhones to connect via Bluetooth devices such as an Apple TV or AirPods. The barrage of notifications, which is sent by a nearby Flipper Zero, can overwhelm an iPhone and make it virtually unusable.
“My phone was getting these pop-ups every few minutes, and then my phone would reboot,” security researcher Jeroen van der Ham told Ars about a DoS attack he experienced while commuting in the Netherlands. He later replicated the attack in a lab environment, while other security researchers have also demonstrated the spamming ability in recent weeks. In van der Ham’s tests, the attack only worked on devices running iOS 17—and at the moment, the only way to prevent the attack is by turning off Bluetooth.
In 2019, hackers linked to Russia’s intelligence service broke into the network of software firm SolarWinds, planting a backdoor and ultimately finding their way into thousands of systems. This week, the US Securities and Exchange Commission charged Tim Brown, the CISO of SolarWinds, and the company with fraud and “internal control failures.” The SEC alleges that Brown and the company overstated SolarWinds’ cybersecurity practices while “understating or failing to disclose known risks.” The SEC claims that SolarWinds knew of “specific deficiencies” in the company’s security practices and made public claims that weren’t reflected in its own internal assessments.
“Rather than address these vulnerabilities, SolarWinds and Brown engaged in a campaign to paint a false picture of the company’s cyber controls environment, thereby depriving investors of accurate material information,” Gurbir S. Grewal, director of the SEC’s Division of Enforcement said in a statement. In response, Sudhakar Ramakrishna, the CEO of SolarWinds, said in a blog post that the allegations are part of a “misguided and improper enforcement action.”
For years, researchers have shown that face recognition systems, trained on millions of pictures of people, can misidentify women and people of color at disproportionate rates. The systems have led to wrongful arrests. A new investigation from Politico, focusing on a year’s worth of face recognition requests made by police in New Orleans, has found that the technology was almost exclusively used to try to identify Black people. The system also “failed to identify suspects a majority of the time,” the report says. Analysis of 15 requests for the use of face recognition technology found that only one of them was for a white suspect, and in nine cases the technology failed to find a match. Three of the six matches were also incorrect. “The data has pretty much proven that (anti-face-recognition) advocates were mostly correct,” one city councilor said.
Identity management company Okta has revealed more details about an intrusion into its systems, which it first disclosed on October 20. The company said the attackers, who had accessed its customer support system, accessed files belonging to 134 customers. (In these instances, customers are individual companies that subscribe to Okta’s services). “Some of these files were HAR files that contained session tokens which could in turn be used for session hijacking attacks,” the company disclosed in a blog post. These session tokens were used to “hijack” the Okta sessions of five separate companies. 1Password, BeyondTrust, and Cloudflare have all previously disclosed they detected suspicious activity, but it is not clear who the two remaining companies are.
