Ειδήσεις: Ειδήσεις

Google Chrome: Ενεργό exploit στη μηχανή γραφικών ANGLE – Τρέξτε το update

Sun, 14 Dec 2025 10:32:00 +0000

Η CISA πρόσθεσε το CVE-2025-14174 στον κατάλογο γνωστών ευπαθειών, επιβεβαιώνοντας πως χρησιμοποιείται ήδη σε επιθέσεις.
Το πρόβλημα εντοπίζεται στη μηχανή γραφικών ANGLE και αφορά διαχείριση μνήμης, με το επίσημο CVE να εστιάζει αρχικά στο macOS.
Η Google διέθεσε άμεσα την έκδοση 143.0.7499.109/.110 για Windows και Mac, και την .109 για Linux.

Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) προχώρησε στην προσθήκη μιας νέας ευπάθειας στον κατάλογο των Γνωστών Εκμεταλλεύσιμων Ευπαθειών (KEV). Πρόκειται για το CVE-2025-14174, ένα κενό ασφαλείας «υψηλής σοβαρότητας» στη μηχανή γραφικών ANGLE του Google Chrome, το οποίο, σύμφωνα με την Google, έχει ήδη χρησιμοποιηθεί σε στοχευμένες επιθέσεις (exploited in the wild).

Το τεχνικό πρόβλημα περιγράφεται ως «πρόσβαση μνήμης εκτός ορίων» (out-of-bounds memory access) στο ANGLE, το υποσύστημα που μεταφράζει εντολές WebGL και OpenGL σε εγγενείς εντολές της GPU. Αν και η επίσημη καταγραφή στη βάση δεδομένων NVD (National Vulnerability Database) αναφέρεται συγκεκριμένα σε «Google Chrome σε Mac πριν την έκδοση 143.0.7499.110», η φύση του ANGLE ως cross-platform στοιχείου οδήγησε την Google στην έκδοση διορθώσεων για όλα τα desktop λειτουργικά συστήματα.

Η ευπάθεια εντοπίστηκε από την ομάδα Apple Security Engineering and Architecture (SEAR) σε συνεργασία με το Google Threat Analysis Group (TAG). Ένας επιτιθέμενος θα μπορούσε, μέσω μιας ειδικά σχεδιασμένης σελίδας HTML, να προκαλέσει διαφθορά μνήμης (memory corruption). Αν και οι λεπτομέρειες για την αλυσίδα της επίθεσης παραμένουν περιορισμένες για λόγους ασφαλείας, τέτοιου είδους σφάλματα μπορούν δυνητικά να οδηγήσουν σε εκτέλεση αυθαίρετου κώδικα (arbitrary code execution) εντός της διεργασίας του browser.

Η Google συνιστά στους χρήστες να προχωρήσουν άμεσα σε αναβάθμιση, καθώς το exploit είναι ενεργό. Οι ασφαλείς εκδόσεις που διανέμονται μέσω του Stable καναλιού είναι:

Windows και macOS: 143.0.7499.109 ή 143.0.7499.110
Linux: 143.0.7499.109

Οι χρήστες browsers που βασίζονται στο Chromium (όπως Microsoft Edge, Brave, Vivaldi) αναμένεται να λάβουν τις αντίστοιχες ενημερώσεις εντός των επόμενων ωρών ή ημερών, καθώς ενσωματώνουν τον διορθωμένο κώδικα του Chromium.

Πηγές

Flare: 10.456 δημόσια Docker Hub images εξέθεσαν κλειδιά και tokens σε cloud, CI/CD και υπηρεσίες ΤΝ

Fri, 12 Dec 2025 16:19:40 +0000

Η Flare σάρωσε Docker Hub images που ανέβηκαν 1 έως 30 Νοεμβρίου 2025 και εντόπισε 10.456 με εκτεθειμένα secrets, μέσα τους και πρόσβαση που μπορεί να οδηγήσει σε production περιβάλλοντα.
Τα πιο συχνά leaks ήταν AI/LLM API keys (περίπου 4.000), ενώ στο 42% των προβληματικών images υπήρχαν 5+ secrets, δηλαδή “πακέτο” πρόσβασης σε cloud, repos και CI/CD.
Ακόμη και όταν οι δημιουργοί αφαιρούν γρήγορα το secret, συχνά δεν γίνεται ανάκληση ή εναλλαγή κλειδιών, άρα όποιος πρόλαβε να το πάρει όσο ήταν εκτεθειμένο, μπορεί να το χρησιμοποιεί αργότερα.

Η Flare (cyber threat intelligence) δημοσίευσε στις 10 Δεκεμβρίου 2025 ανάλυση για διαρροές secrets σε images του Docker Hub. Με βάση σάρωση σε images που ανέβηκαν από 1 έως 30 Νοεμβρίου 2025, κατέγραψε 10.456 images που περιείχαν ένα ή περισσότερα εκτεθειμένα κλειδιά. Η εταιρεία επισημαίνει ότι μέσα στο σύνολο περιλαμβάνονται και credentials που μπορούν να αξιοποιηθούν άμεσα, όχι απλώς “δοκιμαστικά” tokens.

Η εικόνα γίνεται ακόμη πιο ανησυχητική αν δει κανείς τη “σύνθεση” της πρόσβασης. Η Flare αναφέρει ότι πάνω από 100 οργανισμοί βρέθηκαν εκτεθειμένοι, μέσα τους μία εταιρεία Fortune 500 και μία μεγάλη τράπεζα. Στο 42% των προβληματικών images υπήρχαν πέντε ή περισσότερα secrets στο ίδιο πακέτο, κάτι που στην πράξη μπορεί να ξεκλειδώσει ταυτόχρονα cloud περιβάλλον, αποθετήριο κώδικα, pipelines CI/CD, βάσεις, και σε ορισμένες περιπτώσεις ακόμη και integrations πληρωμών. Μετά από φιλτράρισμα ευρημάτων χαμηλότερης σοβαρότητας, η Flare αναφέρει ότι έμεινε με 205 namespaces, και κατάφερε να συσχετίσει 101 από αυτά με αναγνωρίσιμες εταιρείες.

Στα είδη των secrets, η έρευνα δείχνει μια μετατόπιση που “γράφει” 2025. Τα πιο συχνά ήταν AI/LLM API keys, με περίπου 4.000 κλειδιά για υπηρεσίες όπως OpenAI, Hugging Face, Anthropic, Gemini και Groq. Το μήνυμα εδώ είναι ξεκάθαρο, η υιοθέτηση εργαλείων ΤΝ προχωρά πιο γρήγορα από την εφαρμογή βασικών μέτρων ασφαλείας, ειδικά όταν τα κλειδιά μπαίνουν πρόχειρα σε .env αρχεία, configs, ή και μέσα στον κώδικα.

Σημαντικό μέρος του προβλήματος φαίνεται να “γεννιέται” εκτός εταιρικού ραντάρ, σε προσωπικούς ή contractor λογαριασμούς, όπου απουσιάζουν πολιτικές, έλεγχοι πριν από τη δημοσίευση, και κεντρική εποπτεία. Αυτό εξηγεί γιατί οι διαρροές εμφανίζονται ακόμη και σε οργανισμούς που θεωρητικά έχουν διαδικασίες, απλώς δεν τις εφαρμόζουν παντού.

Το πιο ύπουλο σημείο είναι η αντίδραση μετά το λάθος. Σύμφωνα με τα στοιχεία που παραθέτει η Flare, περίπου 1 στους 4 αφαιρεί το εκτεθειμένο secret μέσα σε 48 ώρες, όμως στις περισσότερες από αυτές τις περιπτώσεις δεν ακολουθεί ανάκληση ή εναλλαγή (rotation) του κλειδιού. Με άλλα λόγια, το “το έσβησα από το image” δεν σημαίνει “τελείωσε”, γιατί όποιος το είδε όσο ήταν δημόσιο, μπορεί απλώς να το χρησιμοποιήσει.

Υπάρχει και μια τεχνική παγίδα που κάνει την πρόχειρη διόρθωση ακόμη πιο επικίνδυνη, τα images βασίζονται σε immutable layers. Αν ένα secret μπήκε σε layer και “σβήστηκε” σε επόμενο βήμα, μπορεί να παραμένει ανακτήσιμο από προηγούμενο layer. Η πρακτική άμυνα εδώ είναι ξεκάθαρη, αλλά όχι ιδιαίτερα ευχάριστη, άμεσο revoke/rotate, και αλλαγή διαδικασίας build ώστε secrets να μην περνάνε ποτέ στο τελικό artifact.

Για οργανισμούς και ομάδες ανάπτυξης, το συμπέρασμα είναι πρακτικό και κάπως επώδυνο. Τα registries πρέπει να αντιμετωπίζονται σαν δημόσια διανομή λογισμικού, όχι σαν “προσωρινή αποθήκη”. Αυτό σημαίνει scanning σε κάθε στάδιο (code, CI, image, registry), χρήση secret mounts αντί για ARG/ENV, και αυστηρό έλεγχο στην αλυσίδα εφοδιασμού λογισμικού (software supply chain), ώστε το λάθος να κόβεται πριν γίνει δημόσιο. Αλλιώς, ο “εύκολος δρόμος” για τους επιτιθέμενους δεν είναι κάποιο περίπλοκο exploit, αλλά η απλή είσοδος με έτοιμα διαπιστευτήρια.

Πηγές

Over 10,000 Docker Hub images found leaking credentials, auth keys , BleepingComputer
Thousands of Exposed Secrets Found on Docker Hub, Putting Organizations at Risk , Flare
Build secrets , Docker Docs
Understanding the image layers , Docker Docs

JS#SMUGGLER: νέα web καμπάνια μολύνει Windows μόνο με μια επίσκεψη σε παραβιασμένη ιστοσελίδα

Tue, 09 Dec 2025 19:30:38 +0000

Η καμπάνια JS#SMUGGLER μολύνει χρήστες απλώς με μια επίσκεψη σε παραβιασμένες, κατά τα άλλα «κανονικές», ιστοσελίδες, καταλήγοντας στην εγκατάσταση του NetSupport RAT σε Windows.
Χρησιμοποιεί τριών σταδίων αλυσίδα με obfuscated JavaScript, κρυφό HTA μέσω mshta.exe και fileless εκτέλεση PowerShell, έτσι ώστε τα κλασικά antivirus να έχουν ελάχιστα ίχνη να εντοπίσουν.
Η καμπάνια τρέχει ήδη από τις αρχές Δεκεμβρίου 2025, στοχεύει κυρίως εταιρικούς χρήστες στην Ευρώπη, αλλά πρακτικά κάθε Windows σύστημα που μπαίνει σε επιχειρηματικά sites είναι υποψήφιο θύμα.

Η Securonix και άλλοι ερευνητές κυβερνοασφάλειας προειδοποιούν για μια νέα καμπάνια κακόβουλου λογισμικού με την ονομασία JS#SMUGGLER. Η επίθεση αξιοποιεί παραβιασμένες, απολύτως «κανονικές» ιστοσελίδες ως όχημα διανομής του NetSupport RAT, ενός πολύ διαδεδομένου εργαλείου απομακρυσμένης πρόσβασης που εδώ χρησιμοποιείται ως πλήρες Remote Access Trojan.

Το σημαντικό, και ενοχλητικά ειλικρινές, στοιχείο είναι ότι ο τελικός χρήστης δεν χρειάζεται να κάνει τίποτα «χαζό». Δεν ανοίγει ύποπτα συνημμένα, δεν τρέχει πειρατικά exe. Αρκεί να φορτώσει μια σελίδα που έχει ήδη μολυνθεί με τον JavaScript loader της καμπάνιας.

Πώς δουλεύει το JS#SMUGGLER, με απλά λόγια

Η αλυσίδα επίθεσης έχει τρία βασικά στάδια, όλα σχεδιασμένα να κρύβονται όσο γίνεται καλύτερα μέσα στον φυσιολογικό ιστό της σελίδας και των Windows.

Στάδιο 1 – ο JavaScript loader στον browser

Σε παραβιασμένα sites, οι επιτιθέμενοι έχουν ενσωματώσει έναν ιδιαίτερα βαριά obfuscated loader, γνωστό και ως «phone.js». Το script τρέχει αυτόματα όταν η σελίδα φορτώσει πλήρως, ελέγχει αν ο επισκέπτης είναι σε κινητό ή σε desktop και κρατά ένα «σημάδι» στο localStorage ώστε να εκτελεστεί μόνο την πρώτη φορά που θα επισκεφθείς τη σελίδα.

Αν ανιχνεύσει mobile συσκευή, δημιουργεί ένα αόρατο, fullscreen iframe που σε στέλνει σε κακόβουλη διεύθυνση, συνήθως για phishing ή άλλη μορφή επίθεσης. Αν δει desktop, κατεβάζει και εκτελεί αθόρυβα ένα δεύτερο JavaScript αρχείο από τον server του δράστη, προετοιμάζοντας το επόμενο βήμα.

Με άλλα λόγια, η μόλυνση ξεκινά ως κλασικό drive-by: φόρτωση σελίδας, καμία κίνηση από τον χρήστη, ο browser απλώς εκτελεί «νόμιμο» JavaScript.

Στάδιο 2 – HTA μέσω mshta.exe και fileless PowerShell

Το δεύτερο στάδιο κατεβαίνει από ειδικά φτιαγμένο URL και δεν είναι κλασικό HTML, αλλά HTA (HTML Application) που εκτελείται με το mshta.exe, ένα υπογεγραμμένο εκτελέσιμο των Windows που χρησιμοποιείται εδώ ως LOLBin (Signed Binary Proxy Execution) για να παρακάμψει πολιτικές ασφαλείας.

Το HTA τρέχει εντελώς κρυφά, χωρίς παράθυρο ή ένδειξη στην taskbar, και:

γράφει έναν προσωρινό PowerShell stager σε temp φάκελο
αποκρυπτογραφεί το κύριο payload με πολλαπλά στρώματα κρυπτογράφησης και συμπίεσης, συμπεριλαμβανομένων AES-256 και GZIP
εκτελεί τον τελικό PowerShell κώδικα απευθείας στη μνήμη, με παράκαμψη του ExecutionPolicy, ώστε να μην αφήνει κλασικά αρχεία στον δίσκο

Μετά την εκτέλεση, καθαρίζει τα προσωρινά αρχεία και κλείνει, αφήνοντας πίσω του ελάχιστα ίχνη. Για ένα απλό antivirus που βασίζεται στο σκανάρισμα αρχείων, όλη αυτή η ιστορία είναι πρακτικά αόρατη.

Στάδιο 3 – εγκατάσταση και επιμονή του NetSupport RAT

Το τρίτο στάδιο είναι ο πλήρης PowerShell downloader. Κατεβάζει ένα ZIP αρχείο από υποδομή των δραστών, το αποσυμπιέζει σε φάκελο με «ήπιο» όνομα κάτω από το ProgramData και εκκινεί το NetSupport client μέσω ενός JScript wrapper, ώστε να μπερδεύεται το γράφημα διεργασιών (wscript, run.js κτλ.).

Η ανάλυση της Securonix δείχνει ότι τα αρχεία αποσυμπιέζονται σε φάκελο C:\ProgramData\CommunicationLayer\, ενώ για επιμονή δημιουργείται συντόμευση με το όνομα «WindowsUpdate.lnk» στον φάκελο Startup του χρήστη. Έτσι, το RAT σηκώνεται ξανά σε κάθε εκκίνηση, χωρίς να χρειαστεί καθόλου δικαιώματα διαχειριστή.

Το NetSupport Manager, ως νόμιμο εργαλείο απομακρυσμένης διαχείρισης, προσφέρει στους διαχειριστές όλα όσα χρειάζονται. Στα χέρια επιτιθέμενου μετατρέπεται σε NetSupport RAT: απομακρυσμένη επιφάνεια εργασίας, αντιγραφή και διαγραφή αρχείων, εκτέλεση εντολών, πιθανό keylogging, ακόμα και χρήση του συστήματός σου ως proxy για επιθέσεις σε άλλους.

Ποιους στοχεύει και τι σημαίνει για τον μέσο χρήστη

Σύμφωνα με την ανάλυση της Securonix, η καμπάνια δεν δείχνει να στοχεύει συγκεκριμένο κλάδο ή χώρα, αλλά γενικά εταιρικούς χρήστες που επισκέπτονται επιχειρηματικά sites, portals συνεργατών, online εργαλεία κτλ. Οι υποδομές και ο τρόπος λειτουργίας παραπέμπουν σε οικονομικά υποκινούμενους δράστες ή access brokers, όχι σε «χακτιβισμό».

Για τον απλό χρήστη Windows, το μήνυμα είναι λίγο κυνικό: το γεγονός ότι δεν ανοίγεις ύποπτα συνημμένα δεν σε σώζει πάντα. Αν ο ιστότοπος μιας εταιρείας ή ενός προμηθευτή που εμπιστεύεσαι παραβιαστεί, μπορείς να μολυνθείς μόνο και μόνο επειδή μπήκες να «ρίξεις μια ματιά».

Για Linux desktop, η συγκεκριμένη αλυσίδα – με mshta.exe, HTA, PowerShell και .lnk συντομεύσεις – είναι πρακτικά μη λειτουργική. Η JavaScript θα τρέξει στον browser, αλλά τα επόμενα στάδια δεν έχουν πού να πατήσουν. Αυτό όμως δεν είναι «μαγική ασπίδα»: οι ίδιοι χειριστές μπορούν ανά πάσα στιγμή να προσθέσουν διαφορετικό payload για άλλες πλατφόρμες. Προς το παρόν, η καμπάνια όπως έχει εντοπιστεί είναι ξεκάθαρα προσανατολισμένη σε Windows.

Τι μπορείς να κάνεις στην πράξη

Αν είσαι απλός χρήστης ή power user σε Windows:

Κράτα browser και plugins ενημερωμένα, μαζί με το λειτουργικό. Παλιά engines και παλιά extensions είναι ο εύκολος στόχος.
Χρησιμοποίησε σοβαρό ad/script blocker (π.χ. uBlock Origin σε αυστηρή ρύθμιση) και σκέψου αν χρειάζεσαι οπωσδήποτε JavaScript ενεργό παντού. Ναι, θα χαλάσει κάποιες σελίδες. Ναι, αυτό είναι το point.
Αν δεν χρησιμοποιείς HTA καθόλου, αξίζει να μπλοκάρεις το mshta.exe σε επίπεδο πολιτικής ή μέσω του security λογισμικού σου. Πολλές εταιρείες ήδη το κάνουν ακριβώς για τέτοιες καμπάνιες.

Για έναν γρήγορο, εντελώς ακίνδυνο αυτοέλεγχο σε Windows, μπορείς να τρέξεις από γραμμή εντολών:

έλεγχο αν υπάρχει ο φάκελος C:\ProgramData\CommunicationLayer\
έλεγχο αν στον φάκελο Startup σου υπάρχει κάποια ύποπτη συντόμευση «WindowsUpdate.lnk»

Αν τα βρεις, δεν σημαίνει αυτόματα ότι έχεις μολυνθεί από αυτή ακριβώς την καμπάνια, αλλά είναι σοβαρό red flag και η σωστή κίνηση είναι αποσύνδεση του υπολογιστή από το δίκτυο και έλεγχος από ειδικό ή από το security team της εταιρείας σου.

Αν είσαι διαχειριστής ή υπεύθυνος ασφάλειας, το JS#SMUGGLER ουσιαστικά σου επιβεβαιώνει την τάση που ήδη βλέπεις:

web-based multi-stage επιθέσεις, με πολύ obfuscated JavaScript, device-aware branching (διαφορετική συμπεριφορά σε mobile και desktop) και ένα σωρό fileless τεχνικές
εκτεταμένη χρήση Windows LOLBins, όπως mshta.exe, wscript.exe και PowerShell, ώστε η αλυσίδα να φαίνεται όσο γίνεται πιο «νόμιμη» στα logs
τελικό payload όχι custom RAT, αλλά εμπορικό remote admin εργαλείο, που ήδη επιτρέπεται σε πολλούς οργανισμούς

Οι συστάσεις της Securonix είναι μάλλον το νέο baseline: ισχυρό Content Security Policy, ενισχυμένη καταγραφή PowerShell, περιορισμός mshta.exe, συμπεριφορική ανίχνευση αλυσίδων όπως mshta.exe → powershell.exe → wscript.exe και ενεργή επιτήρηση του Startup folder και φακέλων όπως ProgramData για ύποπτα executables και συντομεύσεις.

Τι να περιμένουμε στη συνέχεια

Το JS#SMUGGLER φαίνεται λιγότερο σαν «ένα ακόμη script» και περισσότερο σαν πλατφόρμα. Η δομή του, τα επίπεδα αποφυγής ανίχνευσης και η χρήση επαναχρησιμοποιημένων κομματιών (NetSupport, γνωστά LOLBins) δείχνουν framework που μπορεί σχετικά εύκολα να παραμετροποιηθεί.

Για τους απλούς χρήστες αυτό μεταφράζεται σε κάτι απλό αλλά όχι ευχάριστο: το web ως επιφάνεια επίθεσης θα συνεχίσει να γίνεται πιο «ύπουλο», όχι λιγότερο. Οι drive-by επιθέσεις θα θυμίζουν όλο και λιγότερο τα παλιά exploit kits με Flash και όλο και περισσότερο τέτοια πολυσταδιακά σενάρια που πατάνε πάνω σε νόμιμα components και εμπορικά εργαλεία.

Με ρεαλιστικούς όρους, αν χρησιμοποιείς Windows σε δουλειά ή σπίτι, το μόνο «εύκολο» μέτρο είναι να σκληρύνεις όσο αντέχεις τον browser και να αφήσεις σε ένα σοβαρό security stack το δύσκολο κομμάτι της ανίχνευσης. Και φυσικά, αν δεις περίεργη συμπεριφορά, αργό desktop ή «φαντάσματα» στο ποντίκι και το πληκτρολόγιο, μην το αποδίδεις πάντα σε Windows…

Πηγές

Κρυφό μικρόφωνο και σοβαρές τρύπες ασφαλείας στο NanoKVM της Sipeed, προειδοποιεί ερευνητής

Tue, 09 Dec 2025 15:39:08 +0000

- Σλοβένος ερευνητής ασφάλειας ανέλυσε το NanoKVM της Sipeed και βρήκε προεπιλεγμένους κωδικούς, ελλιπή προστασία στο web UI και εντελώς προβληματικούς ελέγχους firmware.
- Το φθηνό IP-KVM περιλαμβάνει και ενσωματωμένο μικρόφωνο που δεν αναφέρεται καθαρά στα υλικά του προϊόντος, μπορεί όμως να ενεργοποιηθεί απομακρυσμένα μέσω SSH και να γράψει ήχο.
- Η Sipeed έχει διορθώσει μέρος των θεμάτων, όμως ειδικοί συνιστούν επανεγγραφή του firmware με εναλλακτική διανομή Linux, αυστηρό διαχωρισμό του δικτύου και αποφυγή χρήσης σε ευαίσθητα περιβάλλοντα.

Το NanoKVM της κινεζικής Sipeed είναι ένα μικρό IP-KVM βασισμένο σε επεξεργαστή RISC-V, που υπόσχεται απομακρυσμένο έλεγχο υπολογιστών σε επίπεδο BIOS, με HDMI capture, εξομοίωση πληκτρολογίου και ποντικιού και δυνατότητα remote power control. Η πλήρης έκδοση κοστίζει περίπου 60 ευρώ, σαφώς φθηνότερα από λύσεις τύπου PiKVM, και γι’ αυτό έχει τραβήξει πολύ ενδιαφέρον σε homelab και μικρά IT περιβάλλοντα.

Η εικόνα αλλάζει όταν κοιτάξει κανείς την ασφάλεια. Ο ερευνητής Matej Kovačič δημοσίευσε στις 10 Φεβρουαρίου 2025 λεπτομερή ανάλυση, στην οποία διαπιστώνει ότι οι πρώτες εκδόσεις του NanoKVM έρχονταν με default password και ενεργό SSH, κάτι που πρακτικά άφηνε τη συσκευή ανοιχτή σε όποιον γνώριζε τον προκαθορισμένο κωδικό. Το web interface δεν είχε προστασία από επιθέσεις CSRF ούτε τρόπο να ακυρωθούν ενεργά sessions, ενώ το κλειδί κρυπτογράφησης για τους κωδικούς πρόσβασης στο browser ήταν hard coded και ίδιο σε όλες τις συσκευές, επιτρέποντας σχετικά εύκολη αποκρυπτογράφηση.

Ο ίδιος εντοπίζει και μια σειρά από πιο «βαθιά» προβλήματα: η συσκευή στέλνει DNS queries σε κινεζικούς DNS servers και επικοινωνεί τακτικά με υποδομές της Sipeed στην Κίνα για ενημερώσεις και για τη λήψη ενός κλειστού binary, του οποίου το κλειδί επαλήθευσης είναι αποθηκευμένο σε απλό κείμενο, ενώ δεν υπάρχει καμία ουσιαστική επαλήθευση ακεραιότητας των updates. Το Linux image της συσκευής είναι έντονα περικομμένο, αλλά περιλαμβάνει εργαλεία όπως tcpdump και aircrack που χρησιμοποιούνται συνήθως για ανάλυση πακέτων και δοκιμές ασφάλειας ασύρματων δικτύων, κάτι που, σε παραγωγική συσκευή πάνω σε προνομιούχο δίκτυο, είναι το λιγότερο κακή πρακτική.

Το πιο ανησυχητικό σημείο της έρευνας είναι η ανακάλυψη ενός μικροσκοπικού μικροφώνου στην πλακέτα. Ο ερευνητής περιγράφει ένα στοιχείο μεγέθους περίπου 2 x 1 χιλιοστό, το οποίο δεν αναφέρεται καθαρά στην τεκμηρίωση του προϊόντος, ενώ το λειτουργικό σύστημα του NanoKVM περιλαμβάνει ήδη τα απαραίτητα εργαλεία ALSA, όπως amixer και arecord. Με δύο εντολές μέσω SSH, κατάφερε να ξεκινήσει καταγραφή και να αντιγράψει το αρχείο ήχου από τη συσκευή, επισημαίνοντας ότι με λίγο scripting θα μπορούσε να στηθεί και live stream ήχου μέσω δικτύου.

Εδώ υπάρχει μια σημαντική λεπτομέρεια που δεν φαίνεται εύκολα στον θόρυβο γύρω από το θέμα. Το NanoKVM βασίζεται στην πλακέτα LicheeRV Nano, της οποίας τα επίσημα specs αναφέρουν αναλογικό μικρόφωνο ως δυνατότητα εισόδου ήχου. Αυτό σημαίνει ότι το στοιχείο δεν είναι κρυφό, αλλά μέρος μιας γενικής πλατφόρμας που η Sipeed αξιοποίησε για KVM. Παρ’ όλα αυτά, για τον τελικό χρήστη του NanoKVM, το μικρόφωνο είναι στην πράξη μη δηλωμένο, αφού δεν προβάλλεται ξεκάθαρα στα υλικά του προϊόντος, ενώ σε συνδυασμό με τις υπόλοιπες αδυναμίες κάνει τη συσκευή, δυνητική πηγή ηχητικής παρακολούθησης.

Η Sipeed απάντησε αναλυτικά στις επικρίσεις με δημόσιο κείμενο στο GitHub, όπου ο ιδρυτής της περιγράφει τις αποφάσεις σχεδίασης ως συμβιβασμό ανάμεσα στην ασφάλεια και την ευχρηστία. Παραδέχεται ότι το να βρίσκεται το κλειδί κρυπτογράφησης σκληροκωδικομένο στο frontend ήταν λανθασμένη πρακτική, ότι το SSH ενεργό από προεπιλογή ταιριάζει περισσότερο σε λειτουργία για developers και δεσμεύεται ότι επόμενες εκδόσεις θα μεταφέρουν τα κλειδιά σε configuration files και θα προσθέσουν έλεγχο ακεραιότητας στα app updates. Παράλληλα υπερασπίζεται την επιλογή για χρήση κεντρικών DNS και εφεδρικών μηχανισμών ως λύση σε προβλήματα συνδεσιμότητας χρηστών από διάφορες περιοχές.

Στα ρεπορτάζ που επανέφεραν το θέμα τον Δεκέμβριο 2025 σημειώνεται ότι αρκετά από τα πιο κραυγαλέα προβλήματα, όπως οι default κωδικοί και το ανοιχτό SSH, έχουν εν τω μεταξύ διορθωθεί. Παρ’ όλα αυτά, η γενική εικόνα παραμένει πως μία συσκευή που κάθεται δίπλα σε servers, με πρόσβαση σε BIOS και power controls, σχεδιάστηκε με λογική «IoT παιχνιδάκι» και όχι με κριτήρια enterprise ασφάλειας.

Από τη θετική πλευρά, τόσο ο ερευνητής όσο και η κοινότητα τονίζουν ότι, επειδή η πλατφόρμα είναι σε μεγάλο βαθμό ανοιχτού κώδικα, έχουν ήδη γίνει ports σε Debian και Ubuntu που τρέχουν τον κώδικα KVM της Sipeed πάνω σε πιο τυπικές και ελεγχόμενες διανομές Linux. Η διαδικασία απαιτεί άνοιγμα της συσκευής και επανεγγραφή της microSD με νέο image, όμως δίνει τη δυνατότητα να αφαιρεθούν περιττά εργαλεία, να ασφαλιστεί το σύστημα και, αν κάποιος θέλει, να αποκολληθεί και το μικρόφωνο.

Για τον μέσο αναγνώστη που έχει NanoKVM σε homelab ή μικρό γραφείο, η πρακτική είναι ξεκάθαρη: η συσκευή πρέπει να αντιμετωπίζεται σαν μη έμπιστος host στο δίκτυο. Αυτό σημαίνει ισχυρό, μοναδικό κωδικό, όσο γίνεται περιορισμό ή απενεργοποίηση του SSH, τοποθέτηση σε ξεχωριστό VLAN ή πίσω από αυστηρούς κανόνες firewall, καμία απευθείας έκθεση στο internet και χρήση VPN μόνο με την ελάχιστη αναγκαία επιφάνεια πρόσβασης. Για χρήσεις όπου υπάρχει αυξημένη ευαισθησία ή κανονιστικό πλαίσιο, όπως υποδομές υγείας ή εταιρικά δίκτυα, η ασφαλέστερη επιλογή είναι πιο ώριμες λύσεις IP-KVM ή τα ενσωματωμένα BMC συστημάτων με σοβαρή υποστήριξη.

Σε ευρύτερο επίπεδο, η υπόθεση NanoKVM δείχνει πόσο εύκολα ένα «φτηνό gadget για homelab» μπορεί να μπει σε κρίσιμες διαδρομές δικτύου χωρίς κανείς να έχει διαβάσει σοβαρά τεκμηρίωση ή πηγαίο κώδικα. Είναι λογικό η συζήτηση να εστιάζει στην Κίνα και στις υποχρεώσεις εταιρειών έναντι κυβερνήσεων, όμως ο ίδιος ο ερευνητής υπενθυμίζει ότι και μεγάλοι αμερικανικοί παίκτες έχουν βρεθεί να καταγράφουν ήχο ή να διαρρέουν δεδομένα μέσω ψηφιακών βοηθών. Το πραγματικό δίδαγμα δεν είναι «μην αγοράζεις από την τάδε χώρα», αλλά «ό,τι βάζεις στο δίκτυό σου, ειδικά αν έχει out of band πρόσβαση (IPMI, BMC κτλ.), πρέπει να περνάει από σοβαρό έλεγχο ασφάλειας, ανεξαρτήτως σημαίας πάνω στο κουτί».

Πηγές

Παραβίαση ασφάλειας στο SmartTube, μολυσμένες εκδόσεις έφτασαν σε Android TV και Fire TV

Wed, 03 Dec 2025 15:41:43 +0000

Η εφαρμογή SmartTube για Android TV και Fire TV παραβιάστηκε, καθώς τα ψηφιακά κλειδιά υπογραφής του προγραμματιστή υποκλάπηκαν.
Εκδόσεις γύρω από τις 30.43–30.47, αλλά και η 30.51, εντοπίστηκαν με μη εξουσιοδοτημένο κώδικα και θεωρούνται πιθανόν μολυσμένες.
Οι χρήστες πρέπει να αφαιρέσουν άμεσα τις παλιές εκδόσεις και να εγκαταστήσουν μόνο τη νέα επίσημα υπογεγραμμένη έκδοση με νέο App-ID.

Η εφαρμογή SmartTube, ένας ιδιαίτερα δημοφιλής εναλλακτικός πελάτης για το YouTube σε Android TV, Fire TV και TV box συσκευές, υπέστη σοβαρή παραβίαση ασφάλειας. Ο δημιουργός της εφαρμογής, Yuriy Yuliskov, ανακοίνωσε ότι ο υπολογιστής ανάπτυξης μολύνθηκε από κακόβουλο λογισμικό, το οποίο υπέκλεψε τα ψηφιακά κλειδιά με τα οποία υπογράφονταν οι εκδόσεις APK. Ως αποτέλεσμα, νεότερες εκδόσεις της εφαρμογής διανεμήθηκαν με μη εξουσιοδοτημένη υπογραφή και περιείχαν κώδικα που δεν υπήρχε στον δημόσιο πηγαίο κώδικα.

Οι εκδόσεις γύρω από τις 30.43–30.47, καθώς και η 30.51, εντοπίστηκαν ως πιθανόν μολυσμένες. Το Google Play Protect άρχισε να μπλοκάρει την εφαρμογή σε πολλές συσκευές, γεγονός που οδήγησε στη δημοσιοποίηση του περιστατικού. Αναλυτές λογισμικού διαπίστωσαν την προσθήκη μιας νέας native βιβλιοθήκης, «libalphasdk.so», η οποία δεν περιλαμβανόταν στα επίσημα build. Η βιβλιοθήκη συνέλεγε συστημικά αναγνωριστικά, στοιχεία δικτύου και άλλες τεχνικές πληροφορίες συσκευής, τα οποία έστελνε σε απομακρυσμένο server.

Παρότι γνωρίζουμε το είδος των δεδομένων που συλλέγονταν, δεν υπάρχει ακόμη πλήρης δημόσια τεχνική ανάλυση για το εύρος της διαρροής ή τον τρόπο αξιοποίησής της. Το περιστατικό δείχνει χαρακτηριστικά μιας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού, όπου στοχεύεται το περιβάλλον ανάπτυξης και όχι η ίδια η εφαρμογή.

Μετά την αποκάλυψη του ζητήματος, ο προγραμματιστής απέσυρε την παλιά υπογραφή, καθάρισε το περιβάλλον ανάπτυξης και κυκλοφόρησε νέα επίσημα υπογεγραμμένη έκδοση με νέο App-ID. Η ασφαλής έκδοση, σύμφωνα με τις τελευταίες ανακοινώσεις, είναι η 30.56.

Για τους χρήστες που έχουν SmartTube σε τηλεοράσεις, TV box ή Fire TV, η σύσταση είναι ξεκάθαρη. Πρέπει να απεγκαταστήσουν κάθε παλιά έκδοση, να επανεκκινήσουν τη συσκευή, να πραγματοποιήσουν έναν έλεγχο ασφαλείας και να εγκαταστήσουν μόνο τη νέα έκδοση από την επίσημη σελίδα. Δεδομένης της μεγάλης χρήσης της εφαρμογής, ο αριθμός δυνητικά επηρεασμένων συσκευών είναι σημαντικός.

Το περιστατικό λειτουργεί ως υπενθύμιση για τους κινδύνους που σχετίζονται με την εγκατάσταση εφαρμογών εκτός Play Store, ακόμη και όταν πρόκειται για open-source έργα. Η ασφάλεια των οικοσυστημάτων τηλεοράσεων και TV box γίνεται ολοένα και πιο κρίσιμη και αναμένεται ότι οι πλατφόρμες θα ενισχύσουν τους μηχανισμούς προστασίας μέσα στο 2026.

Πηγές

SmartTube YouTube app for Android TV breached to push malicious update — BleepingComputer
Popular YouTube app for Android TV SmartTube compromised with malware — CyberInsider
SmartTube app was infected by malware — gHacks
Android TV YouTube client SmartTube was infected with malware — Heise.de

Φθηνά μοντέλα Samsung καταγγέλλεται ότι περιέχουν μη αφαιρούμενο λογισμικό παρακολούθησης

Tue, 25 Nov 2025 18:03:31 +0000

Ερευνητές καταγγέλλουν ότι οικονομικά Galaxy A και M κυκλοφόρησαν σε χώρες της περιοχής WANA με κρυφή προεγκατεστημένη εφαρμογή AppCloud που δεν απεγκαθίσταται.
Το λογισμικό συνδέεται με την ironSource και φέρεται να συλλέγει ευαίσθητα προσωπικά δεδομένα χωρίς σαφή ενημέρωση ή συναίνεση των χρηστών.
Η Samsung δεν έχει δώσει ακόμη καθαρή δημόσια απάντηση, ενώ αυξάνεται η πίεση από οργανισμούς ιδιωτικότητας και ΜΜΕ.

Στις 20 Νοεμβρίου 2025 η Malwarebytes δημοσίευσε έρευνα σύμφωνα με την οποία οικονομικά μοντέλα Samsung των σειρών Galaxy A και M διανεμήθηκαν σε αγορές της Μέσης Ανατολής και Βόρειας Αφρικής, στην περιοχή WANA, με προεγκατεστημένη εφαρμογή AppCloud που λειτουργεί ως κρυφή υπηρεσία συστήματος και δεν μπορεί να αφαιρεθεί χωρίς πρόσβαση root, δηλαδή δικαιώματα διαχειριστή στο Android, κάτι που πρακτικά ακυρώνει την εγγύηση της συσκευής και δεν είναι ρεαλιστική επιλογή για κανέναν χρήστη. Η εφαρμογή δεν εμφανίζεται ως εικονίδιο ή κανονική εγκατεστημένη εφαρμογή στο περιβάλλον χρήσης και, σύμφωνα με τα δημοσιεύματα, διατηρεί επίμονη παρουσία ακόμη και αν ο χρήστης προσπαθήσει να την απενεργοποιήσει, καθώς επανέρχεται μετά από ενημερώσεις συστήματος.

Στο ίδιο θέμα είχε ήδη αναφερθεί η λιβανέζικη οργάνωση ψηφιακών δικαιωμάτων SMEX, η οποία τον Μάιο 2025 δημοσίευσε ανοικτή επιστολή προς τη Samsung καταγγέλλοντας ότι η AppCloud συνδέεται με την εταιρεία ironSource, ισραηλινής προέλευσης και πλέον μέρος της Unity, και λειτουργεί ως bloatware, δηλαδή ως προεγκατεστημένο λογισμικό που ο χρήστης δεν μπορεί να αφαιρέσει. Στην προκειμένη περίπτωση όμως φέρεται να συλλέγει πολύ περισσότερα από απλά στοιχεία χρήσης. Σύμφωνα με την SMEX και αναλύσεις μέσων όπως η Android Authority και το Forbes, η AppCloud έχει σχεδιαστεί ως πλατφόρμα προώθησης εφαρμογών, όμως στην πράξη μπορεί να καταγράφει ενδιαφέροντα, τοποθεσία, συμπεριφορά εγκατάστασης εφαρμογών και άλλα δεδομένα, ενώ η οργάνωση αφήνει ανοικτό το ενδεχόμενο να περιλαμβάνονται και πιο ευαίσθητα προσωπικά δεδομένα, όπως στοιχεία που μπορούν να οδηγήσουν σε λεπτομερές προφίλ του χρήστη.

Η AppCloud συνδέεται ιστορικά με την πλατφόρμα installCore διανομής λογισμικού, η οποία έχει κατηγορηθεί στο παρελθόν για επιθετικές πρακτικές εγκατάστασης, γεγονός που ενισχύει τις ανησυχίες για τον χαρακτήρα της. Σε επίπεδο ευρωπαϊκού δικαίου, η εικόνα που περιγράφουν οι οργανώσεις ιδιωτικότητας δημιουργεί ξεκάθαρα ερωτήματα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων, καθώς η εγκατάσταση λογισμικού με πρόσβαση σε ευαίσθητα προσωπικά δεδομένα χωρίς διαφανή ενημέρωση και ουσιαστική δυνατότητα άρνησης ή απεγκατάστασης δύσκολα συμβιβάζεται με την αρχή της ελαχιστοποίησης δεδομένων και της ελεύθερης συναίνεσης.

Για όσους εξετάζουν σήμερα την αγορά φθηνής συσκευής Samsung, η υπόθεση AppCloud σημαίνει ότι πρέπει να λάβουν υπόψη έναν υπαρκτό κίνδυνο για την ιδιωτικότητά τους, ειδικά αν η συσκευή προορίζεται για χρήση σε ευαίσθητα περιβάλλοντα, επαγγελματικά ή προσωπικά. Η εναλλακτική είναι είτε να αναζητήσουν μοντέλα και αγορές όπου δεν έχει εντοπιστεί η συγκεκριμένη εφαρμογή, είτε να στραφούν σε ανταγωνιστές που προσφέρουν πιο ξεκάθαρη πολιτική ως προς το προεγκατεστημένο λογισμικό και τις επιλογές που δίνουν στον χρήστη.

Μέχρι τη στιγμή που γράφονται αυτές οι γραμμές, η Samsung δεν έχει δώσει πλήρη και συγκεκριμένη δημόσια απάντηση στα τεχνικά και νομικά ερωτήματα που θέτουν οι ερευνητές και οι οργανώσεις, κάτι που αφήνει το θέμα ανοιχτό και αυξάνει την πιθανότητα παρέμβασης από ρυθμιστικές αρχές, ιδίως στην Ευρωπαϊκή Ένωση όπου τα ζητήματα ιδιωτικότητας σε smartphones βρίσκονται ήδη υπό αυστηρότερο έλεγχο. Αν η πίεση από οργανώσεις όπως η SMEX, από τα ΜΜΕ και από την ίδια την αγορά συνεχιστεί, είναι εύλογο να περιμένουμε ότι η εταιρεία θα αναγκαστεί να προσφέρει τουλάχιστον δυνατότητα πλήρους απενεργοποίησης ή αφαίρεσης της AppCloud μέσω ενημέρωσης λογισμικού, μαζί με διαφανή πολιτική απορρήτου που να εξηγεί ποια δεδομένα συλλέγονται, πώς αποθηκεύονται και με ποιον μοιράζονται.

Μέχρι τότε, η υπόθεση λειτουργεί ως παράδειγμα του πώς ένα «αθώο» εργαλείο προώθησης εφαρμογών μπορεί να μετατραπεί σε σοβαρό πρόβλημα εμπιστοσύνης, ειδικά όταν είναι μη αφαιρούμενο και κρυμμένο βαθιά στο σύστημα.

Πηγές
Budget Samsung phones shipped with unremovable spyware, say researchers — Malwarebytes
'Unremovable Israeli spyware' on your Samsung phone? Here's what the controversy is all about — Android Authority
Has Samsung Installed 'Unremovable Israeli Spyware' On Your Phone? — Forbes
Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region — SMEX

ClickFix, η τεχνική κοινωνικής μηχανικής που παρακάμπτει τα αντίμετρα

Wed, 12 Nov 2025 16:12:00 +0000

Το ClickFix εμφανίστηκε το 2024 και εξελίσσεται γρήγορα. Η ιδέα είναι απλή και καταστροφική. Ιστότοποι παρουσιάζουν ψεύτικες ειδοποιήσεις ή «επαληθεύσεις» και καθοδηγούν τον χρήστη να αντιγράψει και να επικολλήσει μια εντολή στο σύστημά του, συνήθως στο PowerShell ή στο Terminal. Με το πάτημα του Enter, κατεβαίνει και εκτελείται κακόβουλο φορτίο, χωρίς εμφανές αρχείο στον δίσκο, κάτι που δυσκολεύει την αυτόματη ανίχνευση.

Οι αλυσίδες επίθεσης ξεκινούν με ηλεκτρονικό ψάρεμα (phishing), κακόβουλες διαφημίσεις (malvertising) ή παραβιασμένους ιστότοπους. Οι σελίδες-δόλωμα μιμούνται σφάλματα σε Word και Chrome, ψεύτικες επαληθεύσεις Cloudflare ή reCAPTCHA και μηνύματα υπηρεσιών όπως το Discord. Το κρίσιμο σημείο είναι πως την εκτέλεση την κάνει ο ίδιος ο χρήστης, μειώνοντας την πιθανότητα έγκαιρης ανίχνευσης από EDR (Endpoint Detection and Response, συστήματα ανίχνευσης απειλών). Τα φορτία περιλαμβάνουν infostealers (προγράμματα κλοπής δεδομένων), εργαλεία απομακρυσμένης πρόσβασης και loaders (προγράμματα φόρτωσης κακόβουλου λογισμικού).

Οι δράστες αναβαθμίζουν διαρκώς τις τεχνικές εξαπάτησης. Προσθέτουν βίντεο οδηγιών, μετρητές «επαληθευμένων χρηστών» και αυτόματη ανίχνευση λειτουργικού, ώστε οι οδηγίες να προσαρμόζονται σε Windows, macOS ή Linux. Συχνά, JavaScript αντιγράφει αυτόματα την εντολή στο πρόχειρο για να περιοριστούν λάθη. Η διανομή ενισχύεται με δηλητηρίαση αποτελεσμάτων αναζήτησης (SEO poisoning), διαφημίσεις και επιθέσεις σε πρόσθετα WordPress, που οδηγούν μαζικά ανυποψίαστους χρήστες σε σελίδες προορισμού ClickFix.

Η στόχευση δεν περιορίζεται στα Windows. Υπάρχουν εκστρατείες για macOS με stealer payloads, καθώς και σενάρια που μιμούνται εταιρικές διαδικασίες επαλήθευσης. Σε οικιακά ή προσωπικά περιβάλλοντα ο κίνδυνος είναι άμεσος, επειδή οι σελίδες φαίνονται «νόμιμες» και δεν ζητούν λήψη εκτελέσιμου. Σε οργανισμούς, το ζήτημα κλιμακώνεται όταν προσωπικές συσκευές BYOD (Bring Your Own Device, προσωπικές συσκευές στην εργασία) μολυνθούν και συγχρονίσουν εταιρικά cookies ή διαπιστευτήρια. Επιπλέον, οι δράστες αξιοποιούν LOLBins (Living Off the Land Binaries, νόμιμα εργαλεία συστήματος) για να κρύβουν τη δραστηριότητά τους.

Τι κάνουμε στην πράξη. Υιοθετούμε κανόνα μηδενικής ανοχής: καμία εκτέλεση εντολής που προτείνεται από ιστοσελίδα. Κλείνουμε το tab, καθαρίζουμε το πρόχειρο και επανεκκινούμε τον browser. Αν έγινε ήδη εκτέλεση, αποσυνδέουμε το σύστημα από το δίκτυο και τρέχουμε έλεγχο με ενημερωμένα εργαλεία. Σε εταιρικό πλαίσιο, περιορίζουμε δικαιώματα σε τερματικά, εφαρμόζουμε πολιτικές για το PowerShell, παρακολουθούμε ενδείξεις κατάχρησης LOLBins και ενεργοποιούμε ελέγχους στον browser για ανίχνευση κακόβουλου copy-paste. Η εκπαίδευση χρηστών με ρεαλιστικά παραδείγματα ClickFix είναι απαραίτητη.

Το ClickFix είναι μια μέθοδος που μεταφέρει την εκτέλεση στον άνθρωπο και έτσι ξεφεύγει από τα αντίμετρα. Η κατανόηση της τακτικής και η πειθαρχία σε λίγους απλούς κανόνες μειώνουν δραστικά τον κίνδυνο.

Διαρροή συνομιλιών ChatGPT μέσα από το Google Search Console: τι συνέβη και τι λέει η OpenAI

Sun, 09 Nov 2025 13:52:39 +0000

Η Ars Technica αποκάλυψε ότι ιδιωτικές συνομιλίες χρηστών με το ChatGPT εμφανίστηκαν σε αναφορές του Google Search Console. Το ζήτημα ήρθε στο φως στις 8 Νοεμβρίου 2025 και προκάλεσε ανησυχία για την προστασία προσωπικών δεδομένων, καθώς ορισμένα αποσπάσματα ήταν ιδιαίτερα προσωπικά. Σύμφωνα με τον αναλυτή Jason Packer, που εντόπισε πρώτος τα «περίεργα» ερωτήματα, η διαρροή υποδηλώνει ότι το ChatGPT μετατρέπει προτροπές χρηστών σε πραγματικά ερωτήματα στη Google. Αυτά τα ερωτήματα καταγράφονται στη συνέχεια στα εργαλεία της Google για διαχειριστές ιστοσελίδων.

Η OpenAI απάντησε ότι επρόκειτο για σφάλμα που επηρέασε «μικρό αριθμό» προτροπών και έχει ήδη διορθωθεί. Η εξήγηση που προβάλλεται είναι ότι ο μηχανισμός του ChatGPT που μετατρέπει τις προτροπές σε ανώνυμες και ουδέτερες αναζητήσεις παρουσίασε δυσλειτουργία. Αυτό είχε ως αποτέλεσμα να στέλνονται στη Google αυτούσια τμήματα συνομιλιών. Αν ισχύει, οι διαχειριστές ιστοσελίδων μπορούσαν να βλέπουν στο Search Console ερωτήματα αναζήτησης που δεν ήταν απλές αναζητήσεις, αλλά κομμάτια διαλόγων. Αυτό εξηγεί γιατί πολλά παραδείγματα έμοιαζαν αμήχανα.

Το περιστατικό διαφέρει από εκείνο του Αυγούστου 2025, όταν χιλιάδες δημόσια κοινοποιημένες συνομιλίες ChatGPT είχαν ευρετηριαστεί από τη Google και εμφανίζονταν στα αποτελέσματα αναζήτησης. Τότε η OpenAI είχε αποδώσει την έκθεση σε ρυθμίσεις δημόσιας κοινοποίησης που είχαν επιλέξει οι ίδιοι οι χρήστες. Στην παρούσα περίπτωση δεν μιλάμε για δημόσιες σελίδες, αλλά για λογαριασμούς Search Console όπου εμφανίστηκαν φράσεις που φαίνεται να προήλθαν από ιδιωτικές προτροπές. Αυτό αναζωπυρώνει τα ερωτήματα για το πώς τα μεγάλα μοντέλα συνδυάζουν περιήγηση και αναζήτηση, καθώς και τι ίχνος δεδομένων αφήνουν σε τρίτα συστήματα.

Ο πρακτικός κίνδυνος δεν είναι θεωρητικός. Τα ερωτήματα αναζήτησης του Search Console μπορεί να περιλαμβάνουν ονόματα, τοποθεσίες, επαγγελματικά σχέδια ή ακόμη και ευαίσθητες πληροφορίες, όταν ο χρήστης «μιλά» ελεύθερα σε έναν συνομιλητή τεχνητής νοημοσύνης (chatbot). Αν αυτά περάσουν από τρίτα συστήματα, αποθηκεύονται για κάποιο διάστημα στη Google και προβάλλονται συγκεντρωτικά στους διαχειριστές. Η Ars Technica αναφέρει ότι η OpenAI διόρθωσε το πρόβλημα γρήγορα, όμως μένουν ανοιχτά ερωτήματα για την έκταση και την πρόληψη ανάλογων περιστατικών.

Για τους χρήστες, το συμπέρασμα είναι απλό: όταν μια προτροπή απαιτεί αναζήτηση στο διαδίκτυο, συμπεριφερθείτε σαν να μπορεί να φτάσει σε τρίτα συστήματα. Αποφύγετε πλήρη ονόματα, ακριβείς διευθύνσεις ή επιχειρηματικά μυστικά. Για τους διαχειριστές ιστοσελίδων, αξίζει ένας έλεγχος των πρόσφατων ερωτημάτων στο Search Console. Αν εντοπιστούν μη φυσιολογικές εγγραφές, κρατήστε στιγμιότυπα, περιορίστε την πρόσβαση και ενημερώστε διαφανώς τους χρήστες σας.

Σε επίπεδο αγοράς, το περιστατικό επαναφέρει τη συζήτηση για καταγραφή, ανωνυμοποίηση και σχεδιασμό με αρχές ελαχιστοποίησης των δεδομένων που συλλέγονται. Ακόμη και αν πρόκειται για σπάνιο σφάλμα, η λογοδοσία και οι σαφείς τεχνικοί έλεγχοι θα κρίνουν πόσο γρήγορα μπορεί να αποκατασταθεί η εμπιστοσύνη.

Σοβαρή ευπάθεια στην εντολή RDSEED των AMD Zen 5

Tue, 04 Nov 2025 18:44:40 +0000

Η AMD επιβεβαίωσε ζήτημα στην εντολή RDSEED (Random Seed — εντολή παραγωγής αρχικών τιμών τυχαιότητας από το hardware) των επεξεργαστών Zen 5, με αναφορά AMD-SB-7055, CVE-2025-62626 (κωδικός ευπάθειας), CVSS 7.2 — High (υψηλή σοβαρότητα). Υπό ορισμένες συνθήκες, η RDSEED επιστρέφει 0 με CF=1 (η σημαία επιτυχίας είναι ενεργή), κάτι που συνιστά εσφαλμένο χειρισμό αποτυχίας και μπορεί να οδηγήσει σε χρήση ανεπαρκώς τυχαίων τιμών σε κρυπτογραφικές ροές. Το θέμα αναφέρθηκε δημόσια στο LKML (Linux Kernel Mailing List) και όχι μέσω της διαδικασίας CVD (Coordinated Vulnerability Disclosure — συντονισμένη αποκάλυψη ευπαθειών) της AMD. Η εταιρεία διευκρινίζει ότι επηρεάζονται οι μορφές 16-bit και 32-bit της εντολής, ενώ η 64-bit δεν επηρεάζεται.

Στο επίπεδο προϊόντων, επηρεάζονται όλες οι σειρές με πυρήνες Zen 5: EPYC 9005, Ryzen 9000 (desktop), Ryzen 9000HX, Ryzen AI 300, Ryzen AI Max 300, Ryzen Z2 Series (Z2, Z2 Extreme), Ryzen Threadripper 9000 και Threadripper PRO 9000 WX, καθώς και οι embedded πλατφόρμες EPYC Embedded 9005/4005 και Ryzen Embedded 9000. Οι διορθώσεις θα διανεμηθούν στους κατασκευαστές ως microcode και μέσω BIOS/AGESA (πλατφόρμα προσαρμογής firmware της AMD). Σύμφωνα με τον προγραμματισμό της AMD, στόχος είναι: EPYC 9005 με microcode από τα τέλη Οκτωβρίου και AGESA γύρω στις 14 Νοεμβρίου 2025, οι καταναλωτικές σειρές (Ryzen 9000/9000HX, AI 300/Max 300, Z2/Extreme, Threadripper 9000/PRO 9000 WX) έως τα τέλη Νοεμβρίου 2025, ενώ για τις embedded εκδόσεις προβλέπεται Ιανουάριος 2026. Ο ακριβής χρόνος διάθεσης προς τους τελικούς χρήστες εξαρτάται από τους OEM (κατασκευαστές συστημάτων) και τους προμηθευτές μητρικών που θα ενσωματώσουν τις νέες εκδόσεις BIOS.

Μέχρι να εγκατασταθούν οι τελικές διορθώσεις, η AMD προτείνει προσωρινές λύσεις: χρήση της 64-bit RDSEED που δεν επηρεάζεται, απόκρυψη της δυνατότητας RDSEED μέσω CPUID (αναγνωριστικό χαρακτηριστικών επεξεργαστή, π.χ. clearcpuid=rdseed στη γραμμή εκκίνησης ή ισοδύναμη ρύθμιση σε VM), και χειρισμό της τιμής 0 ως αποτυχία με νέα προσπάθεια (επανάληψη) όπως όταν CF=0. Οι προσεγγίσεις αυτές μειώνουν την πιθανότητα να περάσουν αρχικές τιμές (seed) χαμηλής ποιότητας προς βιβλιοθήκες/στοίβες που βασίζονται άμεσα στη RDSEED.

Η αναπαραγωγή του προβλήματος τεκμηριώθηκε δημόσια από μηχανικό της Meta: σε σενάρια έντονου φόρτου όπου νήματα καλούν επανειλημμένα την RDSEED ενώ άλλο νήμα καταναλώνει περίπου 90% της μνήμης, παρατηρήθηκε αυξημένη συχνότητα του συμβάντος (τιμή=0, CF=1) σε διαφορετικά μοντέλα Zen 5, οδηγώντας την κοινότητα του Linux σε προληπτική απενεργοποίηση της δυνατότητας μέχρι να φτάσουν οι επίσημες ενημερώσεις firmware. Ιστορικά, αντίστοιχα προσωρινά μέτρα έχουν εφαρμοστεί και σε παλαιότερες σειρές AMD (π.χ. σε συγκεκριμένες APU Zen 2), επομένως αναμένεται παρόμοια μεταβατική στάση από διανομές/λειτουργικά έως ότου ολοκληρωθεί ο κύκλος ενημερώσεων BIOS.

Σε περιβάλλοντα με έντονο κρυπτογραφικό φόρτο, λειτουργίες τύπου HSM (Hardware Security Module — μονάδες ασφαλείας υλικού), confidential computing (εμπιστευτικοί υπολογισμοί) ή υπηρεσίες που απαιτούν υψηλή ποιότητα εντροπίας, συνίσταται: συχνός έλεγχος για νέες εκδόσεις BIOS/AGESA, αξιολόγηση και —όπου είναι εφικτό— ενεργοποίηση των προσωρινών λύσεων, και στενή παρακολούθηση των ενημερώσεων από τους προμηθευτές λογισμικού, καθώς οι στοιβές TLS/κρυπτογραφίας ενδέχεται να προσαρμόσουν προσωρινά την πολιτική χρήσης της RDSEED. Στα περισσότερα consumer σενάρια δεν απαιτούνται ενέργειες πέρα από την εγκατάσταση του επικείμενου BIOS, αλλά τα επαγγελματικά/server περιβάλλοντα καλό είναι να κινηθούν προληπτικά.

TeamGroup P250Q-M80: M.2 SSD με «κόκκινο κουμπί» για άμεση καταστροφή δεδομένων

Tue, 28 Oct 2025 13:45:47 +0000

Η TeamGroup παρουσίασε τον P250Q-M80, έναν δίσκο M.2 2280 NVMe (PCIe 4.0 x4) που ενσωματώνει σύστημα «Έξυπνης Διπλής Καταστροφής Δεδομένων» (Intelligent Dual-Mode Data Destruction). Με σύντομη πίεση του διακόπτη (5–10 δευτερόλεπτα) εκτελείται διαγραφή λογισμικού, ώστε ο δίσκος να παραμένει επαναχρησιμοποιήσιμος. Με παρατεταμένη πίεση άνω των 10 δευτερολέπτων ενεργοποιείται κύκλωμα υπέρτασης που καταστρέφει φυσικά τα τσιπ NAND (τη μνήμη flash του δίσκου), οδηγώντας σε οριστική απώλεια δεδομένων και μέσου. Η διαδικασία συνεχίζεται αδιάκοπα ακόμη κι αν διακοπεί προσωρινά η τροφοδοσία: μόλις το ρεύμα επανέλθει, η καταστροφή ολοκληρώνεται αυτόματα.

Οι επιδόσεις φτάνουν έως 7 000 MB/s ανάγνωση και 5 500 MB/s εγγραφή, με χωρητικότητες από 256 GB έως 2 TB και μνήμη 3D TLC NAND (τριπλής στοίβαξης). Ο δίσκος είναι χωρίς μνήμη DRAM (προσωρινή μνήμη cache) και υποστηρίζει S.M.A.R.T. (παρακολούθηση υγείας) και TRIM (βελτιστοποίηση απόδοσης). Η TeamGroup αναφέρει MTBF (μέσο χρόνο μεταξύ βλαβών) άνω των 3 εκατ. ωρών, καθώς και στρατιωτικές πιστοποιήσεις MIL-STD-810G και 202G για αντοχή σε δονήσεις και κραδασμούς. Το εύρος θερμοκρασιών αποθήκευσης φτάνει από −55 °C έως +95 °C, ενώ το κύκλωμα καταστροφής καλύπτεται από ταϊβανέζικη χρηστική πατέντα (No. M662727).

Η στόχευση είναι ξεκάθαρη: περιβάλλοντα όπου η άμεση καταστροφή ευαίσθητων δεδομένων αποτελεί πρώτη προτεραιότητα. Τέτοια παραδείγματα είναι στρατιωτικές αποστολές, βιομηχανικά συστήματα λειτουργικής τεχνολογίας (OT), υποδομές υπολογιστικής στο άκρο του δικτύου (edge computing) και φορητές συσκευές που ενδέχεται να κατασχεθούν. Η ενσωμάτωση του μηχανισμού στο ίδιο το μέσο μειώνει χρόνους και εξάρτηση από εξωτερικά εργαλεία, επιτρέποντας άμεση αντίδραση σε κρίσιμες καταστάσεις. Ωστόσο, η «σκληρή» μέθοδος συνεπάγεται οριστική καταστροφή του δίσκου, ενώ ο φυσικός διακόπτης απαιτεί αυστηρές διαδικασίες ώστε να αποφεύγονται ακούσιες ενεργοποιήσεις και να διασφαλίζεται συμμόρφωση με τα πρωτόκολλα ασφαλείας.

Παρόμοιοι μηχανισμοί διαγραφής έκτακτης ανάγκης (panic erase) χρησιμοποιούνται εδώ και χρόνια σε εξοπλισμό υψηλής ασφάλειας, αλλά η P250Q-M80 μεταφέρει τη λογική αυτή σε τυπική μορφή M.2 με σύγχρονες επιδόσεις. Για τους οικιακούς χρήστες, αντίθετα, μια καλή κρυπτογράφηση πλήρους δίσκου και διαγραφή κρυπτογραφικού κλειδιού (crypto-erase) είναι πιο ασφαλείς και οικονομικές λύσεις, χωρίς τον κίνδυνο φυσικής καταστροφής του υλικού. Η TeamGroup δεν έχει ανακοινώσει ακόμη διαθεσιμότητα ή τιμές στην καταναλωτική αγορά, γεγονός που ενισχύει ότι πρόκειται για προϊόν καθαρά βιομηχανικού χαρακτήρα.

Pixnapping: νέα επίθεση κλέβει 2FA κωδικούς από Android

Wed, 15 Oct 2025 15:04:13 +0000

Ερευνητές παρουσίασαν την «Pixnapping», μια τεχνική που επιτρέπει σε κακόβουλες εφαρμογές να αποσπούν ευαίσθητα δεδομένα απευθείας από την οθόνη συσκευών Android—από κωδικούς δύο παραγόντων έως μηνύματα και ιστορικό τοποθεσίας. Η επίθεση αξιοποιεί συνδυασμό API του Android και ένα χρονικό πλευρικό κανάλι (timing side-channel) που συνδέεται με συμπίεση γραφικών στην GPU («GPU.zip»), ώστε να ανακτά την τιμή μεμονωμένων εικονοστοιχείων άλλων εφαρμογών. Σε δοκιμές, οι ερευνητές ανέγνωσαν κωδικούς του Google Authenticator σε λιγότερο από 30 δευτερόλεπτα, χωρίς δικαιώματα πρόσβασης από τον χρήστη.

Το σενάριο λειτουργεί σε σύγχρονες συσκευές με Android 13–16. Μια κακόβουλη εφαρμογή μπορεί να ανοίγει άλλες εφαρμογές-στόχους μέσω intents (εντολών αλληλεπίδρασης) και να τοποθετεί πάνω τους ημιδιαφανείς δραστηριότητες με εφέ θόλωσης (blur). Μετρώντας μικρές καθυστερήσεις κατά την εφαρμογή του θολώματος (blur)—οι οποίες εξαρτώνται από το χρώμα κάθε εικονοστοιχείου—η εφαρμογή συμπεραίνει το περιεχόμενο που προβάλλεται από τα «κάτω» παράθυρα (π.χ. Google Accounts, Gmail, Signal, Venmo, Google Maps, Google Messages, Google Authenticator). Εντυπωσιακό είναι ότι το αποδεικτικό πρωτότυπο (proof-of-concept) λειτουργεί χωρίς να δηλώνει καμία άδεια στο manifest.

Η Google έχει αποδώσει το ζήτημα ως ευπάθεια ασφαλείας και ενσωμάτωσε αλλαγές στη σειρά ενημερώσεων ασφαλείας του Σεπτεμβρίου. Καθώς οι ερευνητές εντόπισαν εφικτό τρόπο παράκαμψης (workaround), προγραμματίζεται πρόσθετη διόρθωση για την ενημέρωση Δεκεμβρίου. Μέχρι στιγμής δεν υπάρχουν ενδείξεις ενεργής εκμετάλλευσης στην πράξη.

Στο χρονικό των εξελίξεων, η δημοσιοποίηση έγινε στα μέσα Οκτωβρίου, με τα τεχνικά μέσα να αναδεικνύουν τόσο το υπόβαθρο της επίθεσης όσο και τις συνέπειες για εφαρμογές πιστοποίησης και ανταλλαγής μηνυμάτων. Το κρίσιμο σημείο: η Pixnapping δεν παραβιάζει το ίδιο το πρωτόκολλο πιστοποίησης δύο παραγόντων· υποκλέπτει ό,τι εμφανίζεται στην οθόνη.

Τι να κάνουν οι χρήστες έως το πλήρες patch: να διατηρούν ενεργό το Play Protect, να αποφεύγουν εγκαταστάσεις από άγνωστες πηγές και να εφαρμόζουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας (Σεπτεμβρίου, Οκτωβρίου και, όταν διατεθεί, Δεκεμβρίου). Για κρίσιμους λογαριασμούς, όπου είναι εφικτό, να προτιμώνται ισχυρότεροι άλλοι παράγοντες ταυτοποίησης που δεν εμφανίζουν μυστικά στην οθόνη, όπως passkeys ή υλικά κλειδιά ασφαλείας (FIDO security keys).

Συντονισμένες διακοπές σε Steam, PSN, Riot: ύποπτη μαζική επίθεση DDoS — ανεπιβεβαίωτο ρεκόρ 29,69 Tbps

Fri, 10 Oct 2025 14:15:55 +0000

Η πρόσβαση σε μεγάλες πλατφόρμες gaming —μεταξύ των οποίων Steam, PlayStation Network, Riot Games και Epic Games— παρουσίασε έντονες διακοπές και καθυστερήσεις το βράδυ της 6ης Οκτωβρίου (ώρα Ελλάδας) και έως το απόγευμα της 7ης Οκτωβρίου. Οι αιχμές αναφορών σε υπηρεσίες παρακολούθησης βλαβών συνέπεσαν χρονικά, τροφοδοτώντας την εκτίμηση για συντονισμένη επίθεση DDoS σε πολλαπτούς παρόχους. Η Valve δεν έχει αποδώσει επίσημη αιτία, αλλά τόσο ειδησεογραφικά μέσα όσο και αναλυτές κυβερνοασφάλειας συγκλίνουν ότι πρόκειται για επίθεση διασποράς υπηρεσίας, με την Riot να αναγνωρίζει «προβλήματα αποσύνδεσης» και να λαμβάνει μέτρα, όπως προσωρινή απενεργοποίηση ranked ουρών.

Σύμφωνα με ζωντανές καλύψεις, το Steam εμφάνισε εκτεταμένη δυσλειτουργία στις 7 Οκτωβρίου με αδυναμία πρόσβασης στο Store, στο Community και στα Web API, πριν επανέλθει σταδιακά. Οι αναφορές σε Downdetector και ανεπίσημα status pages κατέγραψαν δεκάδες χιλιάδες σήματα βλάβης σε σύντομο χρονικό διάστημα, στοιχείο που ενισχύει το σενάριο δικτυακού κορεσμού (volumetric DDoS).

Η ταυτόχρονη όξυνση βλαβών σε πολλαπλές πλατφόρμες οδήγησε την κοινότητα ασφάλειας να εστιάσει στο botnet Aisuru, ένα δίκτυο μολυσμένων συσκευών IoT (δρομολογητές, κάμερες κ.ά.) που έχει τεκμηριωθεί από την Qianxin XLab ήδη από τον Αύγουστο του 2024, όταν συμμετείχε σε μεγάλης κλίμακας πλήγματα εναντίον υποδομών του Steam κατά το λανσάρισμα του Black Myth: Wukong. Νεότερη τεχνική σύνοψη (Σεπτέμβριος 2025) περιγράφει την εξέλιξη του Aisuru και την υιοθέτηση επιθέσεων τύπου TCP “carpet bombing”.

Ισχυρισμοί από εταιρείες μετριασμού DDoS και ανεξάρτητους παρατηρητές αναφέρουν αιχμή κίνησης έως 29,69 Tbps για το κύμα της 6ης–7ης Οκτωβρίου — αριθμός που, αν επιβεβαιωθεί, θα ξεπερνούσε το πρόσφατο καταγεγραμμένο ρεκόρ των ~22 Tbps. Ωστόσο, μέχρι στιγμής δεν υπάρχει επίσημη τεχνική επιβεβαίωση για το 29,69 Tbps από τους παρόχους που επηρεάστηκαν ή μεγάλες πλατφόρμες άμυνας· το μόνο τεκμηριωμένο δημοσίευμα-ρεκόρ που έχει αναγνωριστεί δημόσια τις τελευταίες εβδομάδες παραμένει αυτό των ~22 Tbps (Cloudflare-cited incident). Επομένως, το 29,69 Tbps πρέπει να αντιμετωπίζεται ως ανεπιβεβαίωτη εκτίμηση.

Ανεξαρτήτως του απόλυτου όγκου, η εικόνα που διαμορφώνεται είναι συμβατή με υπερ-ογκομετρική (hyper-volumetric) επίθεση, όπου «σκουπίδια» TCP πακέτων κατανέμονται ευρέως σε υποδίκτυα («carpet bomb») ώστε να παρακάμπτουν τα παραδοσιακά φίλτρα που εστιάζουν σε μεμονωμένους προορισμούς. Σε τέτοιες περιπτώσεις, η υποδομή μπορεί να παραμένει λειτουργική αλλά οι νόμιμες αιτήσεις (logins, cloud sync, store) να αποτυγχάνουν λόγω κορεσμού ενδιάμεσων δικτυακών σημείων.

Για τους χρήστες, οι ενέργειες περιορίζονται σε αναμονή αποκατάστασης και σε μέτρα υγιεινής ασφάλειας: ενεργοποίηση 2FA, αποφυγή κλικ σε ύποπτες «ειδοποιήσεις βλάβης», και ενημέρωση συσκευών οικιακού δικτύου (router, κάμερες, DVR) — οι οποίες συχνά στρατολογούνται στα botnets όταν παραμένουν χωρίς ενημερώσεις.

Πλαίσιο και επόμενα βήματα

Η Valve, η Sony και οι υπόλοιποι πάροχοι δεν έχουν εκδώσει ως τώρα πλήρη τεχνική αποτίμηση για το επεισόδιο της 6ης–7ης Οκτωβρίου. Με δεδομένη την ταυτόχρονη έναρξη/λήξη πολλών διακοπών και τις ενδείξεις «διασύνδεσης» με προηγούμενες επιχειρήσεις του Aisuru, το πιθανότερο σενάριο είναι μια πολυεστιακή, συντονισμένη καμπάνια DDoS. Μέχρι να δημοσιευθούν απολογιστικά στοιχεία (bandwidth, vectors, επιπτώσεις ανά ASN/περιοχή), η αιχμή 29,69 Tbps παραμένει μη επιβεβαιωμένη, ενώ το μόνο πρόσφατα επιβεβαιωμένο ανώτατο μέγεθος από αξιόπιστη πηγή είναι τα ~22 Tbps σε ξεχωριστό περιστατικό.