Ειδήσεις: Ειδήσεις

Το Claude της Anthropic εντόπισε 22 τρωτά σημεία ασφαλείας στον Firefox σε δύο εβδομάδες

Sun, 08 Mar 2026 14:10:32 +0000

Το μοντέλο Claude Opus 4.6 της Anthropic εντόπισε 22 τρωτά σημεία ασφαλείας (CVE) στον Firefox σε διάστημα δύο εβδομάδων στις αρχές του 2026, εκ των οποίων τα 14 χαρακτηρίστηκαν υψηλής σοβαρότητας, ισοδυναμώντας με σχεδόν το ένα πέμπτο όλων των αντίστοιχων αναφορών για το σύνολο του 2025.
Οι περισσότερες ευπάθειες διορθώθηκαν με την έκδοση Firefox 148 (24 Φεβρουαρίου 2026), με τη Mozilla να ενεργοποιεί πολλαπλές μηχανικές ομάδες σε ρυθμούς επείγουσας αντίδρασης.
Η υπόθεση ανοίγει κρίσιμα ερωτήματα: η τεχνητή νοημοσύνη εντοπίζει ευπάθειες με ταχύτητα και κόστος που δεν συγκρίνεται με ανθρώπινες ομάδες, ενώ η ικανότητα εκμετάλλευσής τους (exploitation) υστερεί ακόμη αισθητά, αλλά αυτό το χάσμα στενεύει.

Η Anthropic ανακοίνωσε στις 6 Μαρτίου 2026 τα αποτελέσματα μιας δοκιμής ασφαλείας που πραγματοποίησε σε συνεργασία με τη Mozilla στις αρχές του χρόνου: το μοντέλο Claude Opus 4.6 εντόπισε 22 τρωτά σημεία ασφαλείας (Common Vulnerabilities and Exposures, CVE) στον περιηγητή Firefox μέσα σε δύο εβδομάδες. Από αυτά, τα 14 χαρακτηρίστηκαν υψηλής σοβαρότητας, 7 μέτριας και 1 χαμηλής. Συνολικά υποβλήθηκαν 112 μοναδικές αναφορές σφαλμάτων. Σύμφωνα με τη Mozilla, ο αριθμός των υψηλής σοβαρότητας ευπαθειών που εντοπίστηκαν ισοδυναμεί με σχεδόν το ένα πέμπτο του συνόλου των αντίστοιχων αναφορών για ολόκληρο το 2025.

Γιατί Firefox και γιατί τώρα

Η επιλογή του Firefox δεν ήταν τυχαία. Στα τέλη του 2025, η Anthropic διαπίστωσε ότι το προηγούμενο μοντέλο, Claude Opus 4.5, πλησίαζε στην τέλεια βαθμολογία στο CyberGym, ένα κριτήριο αξιολόγησης (benchmark) που ελέγχει αν τα γλωσσικά μοντέλα μπορούν να αναπαράγουν γνωστές ευπάθειες ασφαλείας. Χρειαζόταν δυσκολότερη δοκιμή. Ο Firefox είναι ένα από τα πλέον εντατικά ελεγχόμενα έργα ανοιχτού κώδικα στον κόσμο, με δεκαετίες αδιάλειπτης ανάλυσης και αυτοματοποιημένων δοκιμών (fuzzing), και εξυπηρετεί εκατοντάδες εκατομμύρια χρήστες παγκοσμίως. Αν το Claude μπορούσε να βρει νέες, άγνωστες ευπάθειες εκεί, αυτό θα σήμαινε κάτι ουσιαστικό.

Πριν στραφεί στον τρέχοντα κώδικα, η ομάδα Frontier Red Team της Anthropic δοκίμασε αν το Claude Opus 4.6 μπορούσε να αναπαράγει ιστορικά CVE σε παλαιότερες εκδόσεις του Firefox. Το αποτέλεσμα ήταν εντυπωσιακό: το μοντέλο αναπαρήγαγε υψηλό ποσοστό ιστορικών ευπαθειών. Η ομάδα, ωστόσο, επισημαίνει ότι αυτό το αποτέλεσμα έπρεπε να ληφθεί με επιφύλαξη, καθώς κάποιες από αυτές τις ευπάθειες ενδέχεται να βρίσκονταν ήδη στα δεδομένα εκπαίδευσης του μοντέλου. Γι' αυτό η εστίαση μετατοπίστηκε στον εντοπισμό εντελώς νέων σφαλμάτων, άγνωστων κατ' ορισμό.

Από το πρώτο σφάλμα στην κλιμάκωση

Μετά μόλις 20 λεπτά εξερεύνησης, το Claude Opus 4.6 εντόπισε ένα σφάλμα τύπου Use After Free στη μηχανή JavaScript του Firefox, ευπάθεια που θα μπορούσε δυνητικά να επιτρέψει σε έναν εισβολέα να εγγράψει αυθαίρετο κακόβουλο περιεχόμενο στη μνήμη. Τρεις ερευνητές της Anthropic επικύρωσαν ανεξάρτητα το εύρημα. Το Claude συνέταξε επίσης προτεινόμενη επιδιόρθωση, η οποία υποβλήθηκε μαζί με την αναφορά στο Bugzilla, το σύστημα παρακολούθησης σφαλμάτων της Mozilla. Στο χρόνο που μεσολάβησε μέχρι την υποβολή της πρώτης αναφοράς, το Claude είχε ήδη εντοπίσει πενήντα επιπλέον μοναδικές εισόδους που οδηγούσαν σε κατάρρευση του προγράμματος.

Η Mozilla επικύρωσε άμεσα το εύρημα και ζήτησε περισσότερα. Ο Brian Grinstead, ανώτερος μηχανικός στη Mozilla, περιέγραψε την αντίδραση της εταιρείας ως «απόκριση έκτακτης ανάγκης»: ενεργοποιήθηκαν πολλαπλές μηχανικές ομάδες για να τριάρουν και να διορθώσουν τις πάνω από 100 αναφορές που τελικά υποβλήθηκαν. Στο σύνολό τους, ο Claude σάρωσε σχεδόν 6.000 αρχεία C++ και υπέβαλε 112 μοναδικές αναφορές. Πέρα από τα 22 CVE, εντοπίστηκαν και 90 πρόσθετα σφάλματα μη ασφαλείας, εκ των οποίων τα περισσότερα επίσης διορθώθηκαν.

Εύρεση ευπαθειών ναι, εκμετάλλευση όχι ακόμη

Παράλληλα με την ανίχνευση σφαλμάτων, η Anthropic δοκίμασε αν το Claude μπορούσε και να τα εκμεταλλευτεί, δηλαδή να συντάξει λειτουργικό κώδικα επίθεσης (exploit). Εδώ τα αποτελέσματα ήταν πολύ πιο περιορισμένα. Ξοδεύοντας περίπου 4.000 δολάρια σε πιστώσεις χρήσης διεπαφής προγραμματισμού (API) και εκτελώντας εκατοντάδες δοκιμές, το μοντέλο κατάφερε να παράγει λειτουργικό exploit μόνο σε δύο περιπτώσεις. Και στις δύο, το exploit λειτούργησε αποκλειστικά σε περιβάλλον δοκιμών που εκ προθέσεως δεν διέθετε τους μηχανισμούς ασφαλείας του πραγματικού Firefox, και κυρίως το περιβάλλον απομόνωσης (sandbox). Κανένα από τα δύο δεν θα ήταν αποτελεσματικό στον πραγματικό Firefox.

Η Anthropic επισημαίνει ρητά μια σημαντική οικονομική αντίθεση: το κόστος εντοπισμού ευπαθειών μέσω μοντέλου τεχνητής νοημοσύνης είναι κατά μία τάξη μεγέθους χαμηλότερο από το κόστος εκμετάλλευσής τους. Αυτή η ασυμμετρία, για την ώρα, δίνει πλεονέκτημα στους αμυνόμενους. Ένα από τα δύο exploits αφορά το CVE-2026-2796, μια ευπάθεια τύπου εσφαλμένης μεταγλώττισης (JIT miscompilation) στο στοιχείο WebAssembly της μηχανής JavaScript, το οποίο αξιολογείται από τρίτες πηγές με βαθμολογία CVSS 9.8/10.

Τι σημαίνει πρακτικά

Η υπόθεση Firefox δεν είναι απομονωμένη. Η Anthropic αναφέρει ότι χρησιμοποίησε το Claude Opus 4.6 και για εύρεση ευπαθειών στον πυρήνα Linux (Linux kernel), και προαναγγέλλει επέκταση της συνεργασίας με την κοινότητα ανοιχτού κώδικα. Για τους διαχειριστές τέτοιων έργων, η Mozilla αποτελεί ήδη πρότυπο: αντί να απαιτεί πλήρη επικύρωση κάθε αναφοράς πριν την υποβολή, ενθάρρυνε την Anthropic να υποβάλει τα ευρήματα μαζικά. Η Anthropic προτείνει τη χρήση «επαληθευτών εργασίας» (task verifiers), αυτοματοποιημένων ελέγχων που επιβεβαιώνουν ότι μια επιδιόρθωση από τεχνητή νοημοσύνη διορθώνει την ευπάθεια χωρίς να προκαλεί νέα προβλήματα, ως ελάχιστη προϋπόθεση για αξιόπιστες αυτόματες επιδιορθώσεις.

Τι να προσέξουμε

Η ίδια η Anthropic προειδοποιεί ότι «ο ρυθμός προόδου καθιστά απίθανο αυτό το χάσμα μεταξύ εύρεσης και εκμετάλλευσης ευπαθειών να διατηρηθεί για πολύ». Εάν μελλοντικά μοντέλα κλείσουν αυτό το χάσμα, η εταιρεία δηλώνει ότι θα χρειαστεί να επανεξετάσει ποια δυνατότητα θα διαθέτει και σε ποιους. Επιπλέον, αν και η συνεργασία με Mozilla αποτελεί πρότυπο υπεύθυνης γνωστοποίησης (responsible disclosure), η ίδια λογική εργαλείου μπορεί να χρησιμοποιηθεί από κακόβουλους φορείς με πρόσβαση σε ισοδύναμα μοντέλα. Ο Gadi Evron, διευθύνων σύμβουλος της εταιρείας κυβερνοασφάλειας Knostic, εκτίμησε ότι «οι σημερινές μέθοδοι κυβερνοάμυνας δεν είναι σε θέση να αντιμετωπίσουν την ταχύτητα και τη συχνότητα αυτού που συμβαίνει».

Ως εκτίμηση: η μεγαλύτερη πρόκληση για τα έργα ανοιχτού κώδικα δεν θα είναι η ίδια η εύρεση ευπαθειών, αλλά η διαχείριση του αυξανόμενου όγκου αναφορών που θα παράγουν τα μοντέλα. Η Mozilla ήδη αναζητά τρόπους ενσωμάτωσης ανάλογων εργαλείων στις εσωτερικές ροές εργασίας της, κάτι που υποδηλώνει ότι η παραδοσιακή διαδικασία αναφοράς σφαλμάτων θα χρειαστεί δομική αναθεώρηση.

Πηγές

Οι αισθητήρες πίεσης ελαστικών μπορούν να λειτουργήσουν ως εργαλείο παρακολούθησης

Thu, 05 Mar 2026 16:01:46 +0000

Ερευνητές κατέγραψαν πάνω από 6 εκατομμύρια μεταδόσεις TPMS από 20.000 οχήματα σε διάστημα 10 εβδομάδων, χρησιμοποιώντας δέκτες κόστους περίπου 100 δολαρίων.
Οι αισθητήρες άμεσου TPMS εκπέμπουν μοναδικό, σταθερό αναγνωριστικό (ID) χωρίς κρυπτογράφηση, το οποίο δεν αλλάζει για όλη τη διάρκεια ζωής του ελαστικού.
Οι ισχύουσες κανονιστικές απαιτήσεις (ΟΝ Κανονισμός 155) δεν καλύπτουν κρυπτογράφηση TPMS, και δεν υπάρχει διαθέσιμη λύση για τους κατόχους οχημάτων.

Ερευνητές από το Ινστιτούτο IMDEA Networks (Ισπανία), σε συνεργασία με εταίρους από Ελβετία και Λουξεμβούργο, δημοσίευσαν εργασία που αποδεικνύει πως τα συστήματα παρακολούθησης πίεσης ελαστικών (TPMS) σε σύγχρονα οχήματα μπορούν να χρησιμοποιηθούν για αθόρυβο εντοπισμό της κίνησης οχημάτων. Η εργασία έγινε δεκτή για παρουσίαση στο συνέδριο IEEE WONS 2026.

Το σύστημα παρακολούθησης πίεσης ελαστικών (TPMS) είναι υποχρεωτικό στις ΗΠΑ από το 2007 και στην Ευρωπαϊκή Ένωση από το 2014. Λειτουργεί με μικρούς αισθητήρες τοποθετημένους μέσα σε κάθε τροχό, οι οποίοι μεταδίδουν ασύρματα δεδομένα πίεσης στη μονάδα ελέγχου του οχήματος. Η λειτουργία αυτή δεν απαιτεί σύζευξη (pairing) ούτε έλεγχο ταυτότητας (authentication), και δεν μπορεί να απενεργοποιηθεί χωρίς να τεθεί εκτός λειτουργίας η ίδια η λειτουργία ασφαλείας.

Πώς λειτουργεί η υποκλοπή

Κάθε αισθητήρας άμεσου TPMS (dTPMS) εκπέμπει σήμα στις συχνότητες 315 ή 433 MHz, και μαζί με τα δεδομένα πίεσης στέλνει ένα σταθερό μοναδικό αναγνωριστικό 24 έως 32 bit σε μη κρυπτογραφημένη μορφή. Η μετάδοση γίνεται κάθε 30 έως 120 δευτερόλεπτα εν κινήσει, ενώ ορισμένοι κατασκευαστές έχουν αισθητήρες που εκπέμπουν και σε στάση, περίπου κάθε ώρα.

Η ομάδα των ερευνητών ανέπτυξε δίκτυο από πέντε δέκτες RTL-SDR σε Raspberry Pi (κόστος περίπου 100 δολάρια ο καθένας) τοποθετημένους σε εσωτερικούς χώρους παρά τον δρόμο, καλύπτοντας συνολική επιφάνεια περίπου 10.000 τετραγωνικών μέτρων. Σε διάστημα 10 εβδομάδων κατέγραψαν άνω των 6 εκατομμυρίων μεταδόσεων από πάνω από 20.000 οχήματα. Τα σήματα ελήφθησαν σε απόσταση έως 55 μέτρων, ακόμα και μέσα από κτίρια χωρίς παράθυρα σε κατεύθυνση προς τον δρόμο.

Αντλώντας συσχετισμούς μεταξύ των ID των τεσσάρων τροχών κάθε οχήματος, οι ερευνητές κατάφεραν να αναγνωρίζουν επαναλαμβανόμενα επισκέπτες, να ανιχνεύουν μοτίβα κίνησης και να εξάγουν πληροφορίες σχετικά με τον τύπο του οχήματος ή την κατά προσέγγιση φόρτωσή του, βάσει των τιμών πίεσης.

Ποια οχήματα επηρεάζονται

Το πρόβλημα αφορά αποκλειστικά τον άμεσο TPMS (dTPMS). Σύμφωνα με τα ευρήματα, μάρκες όπως η Toyota, η Renault, η Hyundai και η Mercedes χρησιμοποιούν dTPMS με ιδιόκτητα πρωτόκολλα χωρίς κρυπτογράφηση. Ορισμένα μοντέλα του Ομίλου Volkswagen υιοθετούν έμμεσο TPMS (iTPMS), το οποίο δεν χρησιμοποιεί φυσικούς αισθητήρες στους τροχούς και άρα δεν εκπέμπει αναγνωριστικό, αν και αυτό δεν ισχύει ομοιόμορφα για όλη την γκάμα του ομίλου.

Τι σημαίνει πρακτικά

Ένα δίκτυο από φθηνούς δέκτες τοποθετημένους σε στρατηγικά σημεία (π.χ. σε πάρκινγκ, σε κτίρια κατά μήκος δρόμων ή σε κόμβους) θα μπορούσε θεωρητικά να παρακολουθεί τα κινητικά πρότυπα οχημάτων χωρίς τη γνώση ή τη συναίνεση του οδηγού. Σε αντίθεση με κάμερες ή συστήματα αναγνώρισης πινακίδων, τα σήματα TPMS διαπερνούν τοίχους και δεν απαιτούν οπτική επαφή. Δεν υπάρχει ειδοποίηση στον πίνακα οργάνων, δεν υπάρχει επιλογή εξαίρεσης.

Τι να προσέξουμε

Οι ερευνητές επισημαίνουν ότι ο Κανονισμός ΟΝ 155 της ΟΕΕ/ΗΕ, που αποτελεί το κύριο πλαίσιο κυβερνοασφάλειας οχημάτων στην Ευρώπη, δεν καλύπτει ρητά την κρυπτογράφηση TPMS. Αυτό σημαίνει πως εκατομμύρια ήδη κυκλοφορούντα οχήματα δεν μπορούν να επιδιορθωθούν λογισμικά, καθώς το πρόβλημα εντοπίζεται στο υλικό (hardware) των αισθητήρων. Η τεχνική λύση, δηλαδή η υιοθέτηση κρυπτογράφησης ή η εναλλαγή ID σε κάθε μετάδοση, αυξάνει την κατανάλωση ενέργειας σύμφωνα με τους ερευνητές, κάτι που για μπαταρίες αισθητήρων με διάρκεια ζωής 5 έως 10 ετών δεν είναι αμελητέο τεχνικό ζήτημα.

Ως εκτίμηση: η πίεση προς τους κατασκευαστές για αναθεώρηση του πρωτοκόλλου TPMS θα ενταθεί, αλλά είναι απίθανο να οδηγήσει σε γρήγορη λύση για το υφιστάμενο στόλο οχημάτων. Η αλλαγή θα έρθει, αν έρθει, στις επόμενες γενιές αισθητήρων.

Πηγές

AirSnitch: επιθέσεις παρακάμπτουν την «απομόνωση πελατών» σε Wi-Fi, από οικιακά έως εταιρικά δίκτυα

Fri, 27 Feb 2026 18:04:31 +0000

Ερευνητές από UC Riverside και KU Leuven παρουσίασαν στο NDSS 2026 το AirSnitch, μια σειρά τεχνικών που παρακάμπτουν την «απομόνωση πελατών» σε Wi-Fi.
Η επίθεση δεν δίνει απομακρυσμένη πρόσβαση από μόνη της, ο εισβολέας πρέπει ήδη να έχει πρόσβαση στο ίδιο δίκτυο ή σε συνεγκατεστημένο ανοικτό δίκτυο του ίδιου σημείου πρόσβασης.
Το συμπέρασμα είναι ότι το client isolation δεν πρέπει να αντιμετωπίζεται ως εγγύηση ασφάλειας, χωρίς τμηματοποίηση και κρυπτογράφηση άκρου σε άκρο.

Νέα έρευνα από το Πανεπιστήμιο της Καλιφόρνιας (Riverside) και το KU Leuven περιγράφει το AirSnitch, ένα σύνολο τεχνικών που μπορούν να παρακάμψουν την «απομόνωση πελατών» (client isolation, AP isolation) σε δίκτυα Wi-Fi. Η απομόνωση πελατών είναι λειτουργία που χρησιμοποιείται ευρέως, ειδικά σε δίκτυα επισκεπτών, με στόχο να εμποδίζει την άμεση επικοινωνία μεταξύ χρηστών στο ίδιο ασύρματο δίκτυο. Οι ερευνητές δείχνουν ότι, επειδή η λειτουργία δεν είναι τυποποιημένη στο IEEE 802.11 και υλοποιείται διαφορετικά από κατασκευαστή σε κατασκευαστή, ανοίγει χώρο για παρακάμψεις.

Πώς παρακάμπτεται η απομόνωση

Η μελέτη περιγράφει τρεις βασικές κατηγορίες. Πρώτον, τεχνικές που εκμεταλλεύονται το κοινό κλειδί ομάδας (Group Temporal Key, GTK) που χρησιμοποιείται για κίνηση εκπομπής και πολλαπλής διανομής (broadcast και multicast). Σε συγκεκριμένες υλοποιήσεις, αυτό μπορεί να επιτρέψει σε εισβολέα να προωθήσει πακέτα προς θύματα, χωρίς να “φαίνεται” ως άμεση πελατο-προς-πελάτο επικοινωνία. Δεύτερον, το “αναπήδημα στην πύλη” (gateway bouncing), όπου η απομόνωση εφαρμόζεται στο επίπεδο σύνδεσης (MAC), αλλά η πύλη/δρομολογητής προωθεί πακέτα στο επίπεδο δικτύου (IP), λειτουργώντας άθελά του ως μεσάζων. Τρίτον, η τεχνική “κλοπής θύρας” (port stealing), όπου ο εισβολέας πλαστογραφεί τη διεύθυνση MAC του θύματος και εκμεταλλεύεται εσωτερική λογική προώθησης του σημείου πρόσβασης, ώστε να δρομολογηθούν προς αυτόν πακέτα που κανονικά θα πήγαιναν στο θύμα.

Ποιοι κινδυνεύουν και ποιο είναι το πραγματικό μοντέλο απειλής

Το AirSnitch δεν είναι επίθεση που “σπάει” τον κωδικό του Wi-Fi από μακριά. Ο εισβολέας πρέπει ήδη να έχει πρόσβαση στο ίδιο ασύρματο δίκτυο, είτε ως νόμιμος χρήστης, είτε επειδή υπάρχει συνεγκατεστημένο ανοικτό δίκτυο στο ίδιο σημείο πρόσβασης, είτε επειδή το δίκτυο επισκεπτών είναι προσβάσιμο. Αυτό το κάνει ιδιαίτερα σχετικό για δημόσια Wi-Fi, δίκτυα επισκεπτών σε επιχειρήσεις, πανεπιστημιακά περιβάλλοντα και χώρους φιλοξενίας.

Σε επιτυχημένη θέση επίθεσης, ο κίνδυνος δεν είναι ότι “εξαφανίζεται” το WPA2/WPA3, αλλά ότι υπονομεύεται η υπόσχεση πως οι πελάτες είναι απομονωμένοι μεταξύ τους. Αυτό μπορεί να διευκολύνει επίθεση ενδιάμεσου, παρεμβολή σε κίνηση που δεν είναι κρυπτογραφημένη άκρου σε άκρο, αλλοίωση απαντήσεων DNS σε συστήματα που δεν προστατεύονται σωστά, ή στοχευμένες επιθέσεις σε συσκευές που εμπιστεύονται υπερβολικά το τοπικό δίκτυο.

Έκταση του προβλήματος και ενημερώσεις

Οι ερευνητές δοκίμασαν τις τεχνικές σε περιορισμένο δείγμα συσκευών και αναφέρουν ότι κάθε συσκευή που εξετάστηκε ήταν ευάλωτη σε τουλάχιστον μία παραλλαγή. Στη λίστα περιλαμβάνονται καταναλωτικές και εταιρικές λύσεις, καθώς και λογισμικό δρομολογητών ανοιχτού κώδικα. Ορισμένοι κατασκευαστές έχουν ήδη ξεκινήσει διαδικασία ενημερώσεων, αλλά η μελέτη τονίζει ότι μέρος του προβλήματος σχετίζεται με τον τρόπο που έχουν υλοποιηθεί μηχανισμοί σε υλικό και λογισμικό, κάτι που δεν διορθώνεται πάντα με μία απλή αναβάθμιση.

Τι σημαίνει πρακτικά

Το πιο πρακτικό συμπέρασμα είναι ότι η απομόνωση πελατών δεν πρέπει να αντιμετωπίζεται ως “τείχος” ασφάλειας. Σε δίκτυα επισκεπτών, η τμηματοποίηση σε ξεχωριστό δίκτυο με κανόνες δρομολόγησης, ή σε ξεχωριστό εικονικό δίκτυο (VLAN) με σωστούς περιορισμούς, μειώνει την έκθεση. Σε επιχειρήσεις, η χρήση πιστοποιημένης πρόσβασης (π.χ. WPA3-Enterprise με κατάλληλη ρύθμιση) και η αρχή «ελάχιστης πρόσβασης» ανά ομάδα συσκευών βοηθούν περισσότερο από ένα απλό checkbox “isolation”.

Για καθημερινή χρήση σε δημόσια Wi-Fi, η ασφαλέστερη πρακτική παραμένει η κρυπτογράφηση άκρου σε άκρο: ιστοσελίδες και εφαρμογές με HTTPS, και όπου χρειάζεται, αξιόπιστο VPN. Σε περιβάλλοντα υψηλού ρίσκου, η χρήση δεδομένων κινητής ή η κοινή χρήση σύνδεσης από το κινητό παραμένει η πιο “καθαρή” λύση.

Τι να προσέξουμε

Το AirSnitch δεν σημαίνει ότι “κατέρρευσε το Wi-Fi”, αλλά ότι ένα ευρέως διαφημιζόμενο χαρακτηριστικό προστασίας μεταξύ πελατών είναι συχνά πιο αδύναμο από όσο υπονοούν τα φυλλάδια. Αν η αγορά κινηθεί όπως σε προηγούμενα Wi-Fi ζητήματα, οι διορθώσεις θα έρθουν σταδιακά, και με ανομοιομορφία ανά κατασκευαστή. Το ενδιάμεσο διάστημα, η σωστή τμηματοποίηση και η κρυπτογράφηση άκρου σε άκρο είναι η ουσία της άμυνας.

Το πιθανότερο είναι να δούμε μεγαλύτερη πίεση προς τυποποίηση του τι σημαίνει “απομόνωση πελατών”, ώστε να μην εξαρτάται από ιδιότυπες υλοποιήσεις. Μέχρι τότε, οι διαχειριστές δικτύων θα χρειαστεί να ελέγχουν ενεργά τις συσκευές τους, όχι να θεωρούν ότι το guest Wi-Fi είναι αυτομάτως “ασφαλές”.

Πηγές

AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks — NDSS 2026
AirSnitch paper (PDF) — NDSS 2026
UCR computer scientists reveal Wi-Fi security flaws — UC Riverside News
New AirSnitch attack bypasses Wi-Fi encryption in homes, offices, and enterprises — Ars Technica
AirSnitch lets attackers on the same network intercept data and launch attacks — Tom’s Hardware
AirSnitch testing tool — GitHub

Notepad++, στοχευμένη επίθεση στην αλυσίδα ενημερώσεων μέσω παραβίασης hosting, από Ιούνιο έως 2 Δεκεμβρίου 2025

Mon, 02 Feb 2026 15:44:00 +0000

Επιτιθέμενοι παραβίασαν περιβάλλον φιλοξενίας και ανακατεύθυναν επιλεγμένους χρήστες σε κακόβουλους servers κατά τη διαδικασία ενημέρωσης (supply chain vector).
Η άμεση πρόσβαση κόπηκε στις 2/9/2025 (scheduled maintenance), αλλά η επίθεση συνεχίστηκε έως 2/12/2025 μέσω κλεμμένων διαπιστευτηρίων/εσωτερικών υπηρεσιών.
Υπάρχει εκτίμηση για κρατικά υποστηριζόμενους δράστες, η απόδοση σε συγκεκριμένη χώρα εμφανίζεται σε ορισμένα ρεπορτάζ και όχι ως δημόσια, οριστική ταυτοποίηση από το ίδιο το project.
Το WinGup (updater) σκλήρυνε με ελέγχους πιστοποιητικού και ψηφιακής υπογραφής, ενώ τα update metadata υπογράφονται πλέον ψηφιακά (XMLDSig).
Σύσταση προς χρήστες, κατέβασμα και χειροκίνητη εγκατάσταση της τελευταίας έκδοσης από τις επίσημες σελίδες του Notepad++.

Τι συνέβη

Το Notepad++ δημοσιοποίησε ότι δέχθηκε στοχευμένη επίθεση στην αλυσίδα ενημερώσεων, με την υποδομή τρίτου παρόχου φιλοξενίας να αποτελεί το σημείο παραβίασης. Η επίθεση δεν βασίστηκε σε κενό ασφαλείας του ίδιου του editor, αλλά σε δυνατότητα ανακατεύθυνσης αιτημάτων ενημέρωσης, ώστε επιλεγμένοι χρήστες να οδηγούνται σε κακόβουλους servers.

Το πρακτικό ρίσκο σε τέτοιες περιπτώσεις δεν είναι “απλώς” η αλλοίωση ενός download, αλλά η "διάβρωση εμπιστοσύνης" στο update path. Σε desktop εφαρμογές, ο updater είναι από τα πιο κρίσιμα σημεία, γιατί λειτουργεί ως προνομιακός δίαυλος εγκατάστασης κώδικα.

Το χρονικό με ημερομηνίες

Η παραβίαση τοποθετείται χρονικά στον Ιούνιο 2025, όταν οι επιτιθέμενοι απέκτησαν πρόσβαση σε κοινόχρηστο server φιλοξενίας που σχετιζόταν με υποδομές του site. Στις 2 Σεπτεμβρίου 2025, προγραμματισμένη συντήρηση (αναβάθμιση kernel και firmware) διέκοψε την άμεση πρόσβασή τους στο συγκεκριμένο σύστημα.

Ωστόσο, η επίθεση συνεχίστηκε. Με βάση τη δημόσια ενημέρωση, οι δράστες είχαν ήδη αποσπάσει διαπιστευτήρια εσωτερικών υπηρεσιών, κάτι που τους επέτρεψε να διατηρήσουν τη δυνατότητα στοχευμένων ανακατευθύνσεων έως τις 2 Δεκεμβρίου 2025. Εκείνη την ημερομηνία ο πάροχος προχώρησε σε πλήρη διορθωτικά μέτρα, μαζί με rotation διαπιστευτηρίων και πρόσθετη σκλήρυνση.

“State-sponsored” και το θέμα της απόδοσης

Η φύση της επίθεσης και η επιμονή της οδήγησαν σε εκτιμήσεις για δράστες με κρατική υποστήριξη. Ορισμένα ρεπορτάζ αποδίδουν την ενέργεια σε κινεζικά, κρατικά συνδεδεμένα σχήματα, ωστόσο το ίδιο το project, στη δημόσια ανακοίνωσή του, κινείται με πιο προσεκτική διατύπωση και περιγράφει το πλαίσιο και τα τεχνικά ευρήματα χωρίς να “κλειδώνει” δημόσια, οριστική ταυτοποίηση χώρας.

Τι άλλαξε στον updater

Σε επίπεδο μετριασμού, το project αναφέρει μετεγκατάσταση υποδομών και αναβαθμίσεις στον WinGup (updater). Συγκεκριμένα, ενισχύθηκε η επαλήθευση πιστοποιητικών και ψηφιακών υπογραφών, ενώ τα αρχεία/metadata ενημέρωσης που σερβίρονται από τον διακομιστή υπογράφονται πλέον ψηφιακά (XMLDSig), ώστε να μειώνεται η πιθανότητα “σιωπηλής” αλλοίωσης του update flow.

Το project σημειώνει επίσης ότι η τεχνική διερεύνηση συνεχίζεται για να αποσαφηνιστεί πλήρως ο μηχανισμός του hijack, όμως το βασικό hardening έχει ήδη περάσει στις πρόσφατες εκδόσεις.

Τι να κάνουν οι χρήστες

Η πρακτική σύσταση είναι σαφής, κατέβασμα της τελευταίας έκδοσης από τις επίσημες σελίδες του Notepad++ και χειροκίνητη εγκατάσταση. Σε περιβάλλοντα οργανισμών, έχει νόημα να ελεγχθεί το update policy, το egress προς domains που σχετίζονται με updates και τυχόν indicators από endpoints που έκαναν ενημέρωση στο επίμαχο διάστημα.

Πηγές

Instagram: Μαζική αποστολή emails επαναφοράς κωδικών, ερωτήματα για διαρροή δεδομένων

Tue, 13 Jan 2026 12:41:05 +0000

TL;DR

Χρήστες παγκοσμίως έλαβαν μαζικά emails “reset password” χωρίς να τα ζητήσουν.
Το Instagram λέει ότι υπήρξε bug που επέτρεπε σε τρίτο μέρος να “πυροδοτεί” νόμιμα reset emails, χωρίς παραβίαση συστημάτων.
Παράλληλα κυκλοφόρησαν ισχυρισμοί για dataset 17,5 εκατ. λογαριασμών, όμως υπάρχουν ενδείξεις ότι πρόκειται για παλαιότερα scraped δεδομένα, όχι για κωδικούς.
Πρακτικά, το ρίσκο είναι το phishing και η κόπωση χρηστών, η ασφαλής διαχείριση γίνεται από την εφαρμογή και με 2FA.

Το Instagram βρέθηκε στο επίκεντρο τις τελευταίες ημέρες, μετά από κύμα emails επαναφοράς κωδικού πρόσβασης που έφτασαν σε χρήστες χωρίς οι ίδιοι να έχουν ξεκινήσει διαδικασία αλλαγής κωδικού. Το αποτέλεσμα ήταν σύγχυση, έντονη συζήτηση στα social media και εύλογες υποψίες για phishing ή για κάποιας μορφής διαρροή στοιχείων.

Η επίσημη θέση του Instagram

Με δημόσια τοποθέτηση στις 11 Ιανουαρίου, το Instagram ανέφερε ότι διόρθωσε ένα ζήτημα που επέτρεπε σε “external party” να ζητά αποστολή emails επαναφοράς κωδικού για ορισμένους χρήστες. Η εταιρεία υποστήριξε ότι δεν υπήρξε παραβίαση των συστημάτων της και ότι οι λογαριασμοί παραμένουν ασφαλείς, προτρέποντας τους χρήστες να αγνοήσουν τα emails αν δεν τα ζήτησαν.

Το κρίσιμο σημείο είναι ότι η εταιρεία δεν κατονόμασε το τρίτο μέρος, ούτε έδωσε τεχνικές λεπτομέρειες για το πώς ήταν δυνατό να ενεργοποιείται μαζικά η αποστολή των reset emails.

Οι αντικρουόμενοι ισχυρισμοί για “διαρροή 17,5 εκατομμυρίων”

Την ίδια περίοδο, η Malwarebytes ισχυρίστηκε ότι εντόπισε dataset που αποδίδεται σε 17,5 εκατομμύρια λογαριασμούς Instagram, το οποίο κυκλοφορεί σε περιβάλλοντα κυβερνοεγκλήματος. Σε ορισμένες αναφορές, το dataset περιγράφεται ως σύνολο στοιχείων (όπως usernames, emails, τηλέφωνα και metadata) που προσφέρονται ή διακινούνται σε forums.

Ωστόσο, άλλοι ερευνητές ασφαλείας και υπηρεσίες breach notification έχουν επισημάνει ότι το συγκεκριμένο dataset μοιάζει να είναι παλαιότερο και να προέρχεται από scraping, με το σημαντικό πρακτικό συμπέρασμα ότι δεν αφορά κωδικούς πρόσβασης. Σε αυτή την ανάγνωση, η χρονική σύμπτωση ανάμεσα στο “reset email flood” και στην ανακύκλωση ενός dataset μπορεί να λειτουργεί ως επιταχυντής πανικού, όχι απαραίτητα ως απόδειξη νέου breach.

Τι πιθανόν συνέβη, και γιατί έχει σημασία

Ακόμα και αν δεν υπήρξε παραβίαση λογαριασμών, η δυνατότητα μαζικής ενεργοποίησης password reset emails έχει πραγματικό operational κόστος. Δημιουργεί κόπωση και σύγχυση, άρα αυξάνει την πιθανότητα ένας χρήστης να πατήσει βιαστικά σε λάθος link, να δώσει στοιχεία σε phishing σελίδα ή να ακολουθήσει “οδηγίες” που δεν προέρχονται από το Instagram.

Με απλά λόγια, ο κίνδυνος εδώ είναι λιγότερο “κάποιος πήρε τον κωδικό σου”, και περισσότερο “κάποιος σε πιέζει να κάνεις λάθος κίνηση” μέσα σε περιβάλλον πανικού.

Τι πρέπει να κάνουν οι χρήστες

Αγνοήστε reset emails που δεν ζητήσατε εσείς.
Μην πατάτε links από email, μπείτε από την εφαρμογή Instagram ή πληκτρολογήστε χειροκίνητα το site.
Αλλάξτε κωδικό από το app ή από το Accounts Center, αν ανησυχείτε, και χρησιμοποιήστε μοναδικό, ισχυρό password.
Ενεργοποιήστε two-factor authentication (ιδανικά μέσω authenticator app).
Ελέγξτε “Login activity”, συσκευές και sessions που είναι συνδεδεμένα στον λογαριασμό.
Μείνετε σε αυξημένη επαγρύπνηση για phishing τις επόμενες εβδομάδες, ειδικά αν λάβετε emails που ζητούν “επιβεβαίωση” ή “επείγουσα” ενέργεια.

Ανεξάρτητα από το ποια εκδοχή θα αποδειχθεί πιο κοντά στην αλήθεια, το επεισόδιο δείχνει πόσο εύκολα μια κατάχρηση “νόμιμων” μηχανισμών ασφαλείας (όπως το password reset) μπορεί να μετατραπεί σε όπλο κοινωνικής μηχανικής.

Πηγές

Instagram statement για τα password reset emails, X
Instagram says there’s been ‘no breach’ despite password reset requests, TechCrunch
Instagram says it fixed the issue that let someone send all those password reset emails, The Verge
Instagram Confirms Password-Reset Spam Flood, Denies Breach, BankInfoSecurity
Meta denies breach reports after users bombarded with reset emails, TechRadar

NGate: Το Android malware που εκμεταλλεύεται την επίθεση NFC relay

Thu, 18 Dec 2025 15:59:06 +0000

Τι έγινε: Η ESET αποκάλυψε το NGate, Android malware που χρησιμοποιεί επίθεση NFC relay για να μεταφέρει σε πραγματικό χρόνο την NFC επικοινωνία μιας κάρτας από το κινητό του θύματος στη συσκευή του δράστη.
Τι σημαίνει: Γίνεται ζωντανή αναμετάδοση του σήματος, ώστε ο δράστης να κάνει ανάληψη από contactless ATM, εφόσον έχει υποκλέψει και το PIN μέσω phishing ή ψεύτικης τραπεζικής εφαρμογής.
Πότε: Η απειλή έχει καταγραφεί σε πραγματικές επιθέσεις, αρχικά στην Τσεχία, και οι ερευνητές προειδοποιούν ότι το μοντέλο μπορεί να επεκταθεί και αλλού.

Μια νέα μορφή απάτης που συνδυάζει phishing με φυσική ανάληψη μετρητών ανέδειξε η ESET, παρουσιάζοντας το NGate, ένα Android malware που αξιοποιεί επίθεση NFC relay. Το σενάριο ξεκινά συνήθως με SMS ή μήνυμα που οδηγεί το θύμα σε εγκατάσταση ψεύτικης τραπεζικής εφαρμογής εκτός Google Play, μέσω sideloading.

Αφού εγκατασταθεί, η εφαρμογή πείθει τον χρήστη να ενεργοποιήσει το NFC και να ακουμπήσει την κάρτα στο κινητό, με πρόσχημα “επαλήθευση” ή “ενεργοποίηση”. Εκεί γίνεται το κρίσιμο σημείο: το NGate δεν χρειάζεται να κλωνοποιήσει μόνιμα την κάρτα, αναμεταδίδει σε πραγματικό χρόνο την NFC επικοινωνία προς τη συσκευή του δράστη, ο οποίος βρίσκεται κοντά σε ATM που υποστηρίζει contactless συναλλαγές.

Για να ολοκληρωθεί η ανάληψη, οι δράστες συνήθως χρειάζονται και το PIN, το οποίο επιχειρούν να αποσπάσουν νωρίτερα μέσα από τη ψεύτικη εφαρμογή ή με άλλη μορφή υποκλοπής διαπιστευτηρίων. Η τεχνική, όπως περιγράφεται από τους ερευνητές, βασίζεται σε τροποποιήσεις του εργαλείου NFCGate, το οποίο είναι γνωστό σε ερευνητικό πλαίσιο, αλλά εδώ χρησιμοποιείται επιχειρησιακά για απάτη.

Οι πρώτες επιβεβαιωμένες καμπάνιες εντοπίστηκαν στην Τσεχία, όμως το μοτίβο είναι μεταφέρσιμο. Το πρακτικό συμπέρασμα είναι ότι το ρίσκο ανεβαίνει σημαντικά όταν ο χρήστης εγκαθιστά εφαρμογές από άγνωστες πηγές και δίνει δικαιώματα που δεν “κολλάνε” με κανονική τραπεζική χρήση, ειδικά όταν του ζητείται να ακουμπήσει κάρτα στο κινητό για δήθεν επιβεβαίωση.

Πηγές

NGate Android malware relays NFC traffic to steal cash, WeLiveSecurity (ESET Research)

New NGate Android malware uses NFC chip to steal credit card data, BleepingComputer

ESET Research discovers NGate, Android malware which relays NFC traffic to steal victims’ cash from ATMs, ESET Newsroom

Android malware steals your card details and PIN to make instant ATM withdrawals, Malwarebytes

NFC malware empties Czech bank accounts, Heise

Google Chrome: Ενεργό exploit στη μηχανή γραφικών ANGLE – Τρέξτε το update

Sun, 14 Dec 2025 10:32:00 +0000

Η CISA πρόσθεσε το CVE-2025-14174 στον κατάλογο γνωστών ευπαθειών, επιβεβαιώνοντας πως χρησιμοποιείται ήδη σε επιθέσεις.
Το πρόβλημα εντοπίζεται στη μηχανή γραφικών ANGLE και αφορά διαχείριση μνήμης, με το επίσημο CVE να εστιάζει αρχικά στο macOS.
Η Google διέθεσε άμεσα την έκδοση 143.0.7499.109/.110 για Windows και Mac, και την .109 για Linux.

Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) προχώρησε στην προσθήκη μιας νέας ευπάθειας στον κατάλογο των Γνωστών Εκμεταλλεύσιμων Ευπαθειών (KEV). Πρόκειται για το CVE-2025-14174, ένα κενό ασφαλείας «υψηλής σοβαρότητας» στη μηχανή γραφικών ANGLE του Google Chrome, το οποίο, σύμφωνα με την Google, έχει ήδη χρησιμοποιηθεί σε στοχευμένες επιθέσεις (exploited in the wild).

Το τεχνικό πρόβλημα περιγράφεται ως «πρόσβαση μνήμης εκτός ορίων» (out-of-bounds memory access) στο ANGLE, το υποσύστημα που μεταφράζει εντολές WebGL και OpenGL σε εγγενείς εντολές της GPU. Αν και η επίσημη καταγραφή στη βάση δεδομένων NVD (National Vulnerability Database) αναφέρεται συγκεκριμένα σε «Google Chrome σε Mac πριν την έκδοση 143.0.7499.110», η φύση του ANGLE ως cross-platform στοιχείου οδήγησε την Google στην έκδοση διορθώσεων για όλα τα desktop λειτουργικά συστήματα.

Η ευπάθεια εντοπίστηκε από την ομάδα Apple Security Engineering and Architecture (SEAR) σε συνεργασία με το Google Threat Analysis Group (TAG). Ένας επιτιθέμενος θα μπορούσε, μέσω μιας ειδικά σχεδιασμένης σελίδας HTML, να προκαλέσει διαφθορά μνήμης (memory corruption). Αν και οι λεπτομέρειες για την αλυσίδα της επίθεσης παραμένουν περιορισμένες για λόγους ασφαλείας, τέτοιου είδους σφάλματα μπορούν δυνητικά να οδηγήσουν σε εκτέλεση αυθαίρετου κώδικα (arbitrary code execution) εντός της διεργασίας του browser.

Η Google συνιστά στους χρήστες να προχωρήσουν άμεσα σε αναβάθμιση, καθώς το exploit είναι ενεργό. Οι ασφαλείς εκδόσεις που διανέμονται μέσω του Stable καναλιού είναι:

Windows και macOS: 143.0.7499.109 ή 143.0.7499.110
Linux: 143.0.7499.109

Οι χρήστες browsers που βασίζονται στο Chromium (όπως Microsoft Edge, Brave, Vivaldi) αναμένεται να λάβουν τις αντίστοιχες ενημερώσεις εντός των επόμενων ωρών ή ημερών, καθώς ενσωματώνουν τον διορθωμένο κώδικα του Chromium.

Πηγές

Flare: 10.456 δημόσια Docker Hub images εξέθεσαν κλειδιά και tokens σε cloud, CI/CD και υπηρεσίες ΤΝ

Fri, 12 Dec 2025 16:19:40 +0000

Η Flare σάρωσε Docker Hub images που ανέβηκαν 1 έως 30 Νοεμβρίου 2025 και εντόπισε 10.456 με εκτεθειμένα secrets, μέσα τους και πρόσβαση που μπορεί να οδηγήσει σε production περιβάλλοντα.
Τα πιο συχνά leaks ήταν AI/LLM API keys (περίπου 4.000), ενώ στο 42% των προβληματικών images υπήρχαν 5+ secrets, δηλαδή “πακέτο” πρόσβασης σε cloud, repos και CI/CD.
Ακόμη και όταν οι δημιουργοί αφαιρούν γρήγορα το secret, συχνά δεν γίνεται ανάκληση ή εναλλαγή κλειδιών, άρα όποιος πρόλαβε να το πάρει όσο ήταν εκτεθειμένο, μπορεί να το χρησιμοποιεί αργότερα.

Η Flare (cyber threat intelligence) δημοσίευσε στις 10 Δεκεμβρίου 2025 ανάλυση για διαρροές secrets σε images του Docker Hub. Με βάση σάρωση σε images που ανέβηκαν από 1 έως 30 Νοεμβρίου 2025, κατέγραψε 10.456 images που περιείχαν ένα ή περισσότερα εκτεθειμένα κλειδιά. Η εταιρεία επισημαίνει ότι μέσα στο σύνολο περιλαμβάνονται και credentials που μπορούν να αξιοποιηθούν άμεσα, όχι απλώς “δοκιμαστικά” tokens.

Η εικόνα γίνεται ακόμη πιο ανησυχητική αν δει κανείς τη “σύνθεση” της πρόσβασης. Η Flare αναφέρει ότι πάνω από 100 οργανισμοί βρέθηκαν εκτεθειμένοι, μέσα τους μία εταιρεία Fortune 500 και μία μεγάλη τράπεζα. Στο 42% των προβληματικών images υπήρχαν πέντε ή περισσότερα secrets στο ίδιο πακέτο, κάτι που στην πράξη μπορεί να ξεκλειδώσει ταυτόχρονα cloud περιβάλλον, αποθετήριο κώδικα, pipelines CI/CD, βάσεις, και σε ορισμένες περιπτώσεις ακόμη και integrations πληρωμών. Μετά από φιλτράρισμα ευρημάτων χαμηλότερης σοβαρότητας, η Flare αναφέρει ότι έμεινε με 205 namespaces, και κατάφερε να συσχετίσει 101 από αυτά με αναγνωρίσιμες εταιρείες.

Στα είδη των secrets, η έρευνα δείχνει μια μετατόπιση που “γράφει” 2025. Τα πιο συχνά ήταν AI/LLM API keys, με περίπου 4.000 κλειδιά για υπηρεσίες όπως OpenAI, Hugging Face, Anthropic, Gemini και Groq. Το μήνυμα εδώ είναι ξεκάθαρο, η υιοθέτηση εργαλείων ΤΝ προχωρά πιο γρήγορα από την εφαρμογή βασικών μέτρων ασφαλείας, ειδικά όταν τα κλειδιά μπαίνουν πρόχειρα σε .env αρχεία, configs, ή και μέσα στον κώδικα.

Σημαντικό μέρος του προβλήματος φαίνεται να “γεννιέται” εκτός εταιρικού ραντάρ, σε προσωπικούς ή contractor λογαριασμούς, όπου απουσιάζουν πολιτικές, έλεγχοι πριν από τη δημοσίευση, και κεντρική εποπτεία. Αυτό εξηγεί γιατί οι διαρροές εμφανίζονται ακόμη και σε οργανισμούς που θεωρητικά έχουν διαδικασίες, απλώς δεν τις εφαρμόζουν παντού.

Το πιο ύπουλο σημείο είναι η αντίδραση μετά το λάθος. Σύμφωνα με τα στοιχεία που παραθέτει η Flare, περίπου 1 στους 4 αφαιρεί το εκτεθειμένο secret μέσα σε 48 ώρες, όμως στις περισσότερες από αυτές τις περιπτώσεις δεν ακολουθεί ανάκληση ή εναλλαγή (rotation) του κλειδιού. Με άλλα λόγια, το “το έσβησα από το image” δεν σημαίνει “τελείωσε”, γιατί όποιος το είδε όσο ήταν δημόσιο, μπορεί απλώς να το χρησιμοποιήσει.

Υπάρχει και μια τεχνική παγίδα που κάνει την πρόχειρη διόρθωση ακόμη πιο επικίνδυνη, τα images βασίζονται σε immutable layers. Αν ένα secret μπήκε σε layer και “σβήστηκε” σε επόμενο βήμα, μπορεί να παραμένει ανακτήσιμο από προηγούμενο layer. Η πρακτική άμυνα εδώ είναι ξεκάθαρη, αλλά όχι ιδιαίτερα ευχάριστη, άμεσο revoke/rotate, και αλλαγή διαδικασίας build ώστε secrets να μην περνάνε ποτέ στο τελικό artifact.

Για οργανισμούς και ομάδες ανάπτυξης, το συμπέρασμα είναι πρακτικό και κάπως επώδυνο. Τα registries πρέπει να αντιμετωπίζονται σαν δημόσια διανομή λογισμικού, όχι σαν “προσωρινή αποθήκη”. Αυτό σημαίνει scanning σε κάθε στάδιο (code, CI, image, registry), χρήση secret mounts αντί για ARG/ENV, και αυστηρό έλεγχο στην αλυσίδα εφοδιασμού λογισμικού (software supply chain), ώστε το λάθος να κόβεται πριν γίνει δημόσιο. Αλλιώς, ο “εύκολος δρόμος” για τους επιτιθέμενους δεν είναι κάποιο περίπλοκο exploit, αλλά η απλή είσοδος με έτοιμα διαπιστευτήρια.

Πηγές

Over 10,000 Docker Hub images found leaking credentials, auth keys , BleepingComputer
Thousands of Exposed Secrets Found on Docker Hub, Putting Organizations at Risk , Flare
Build secrets , Docker Docs
Understanding the image layers , Docker Docs

JS#SMUGGLER: νέα web καμπάνια μολύνει Windows μόνο με μια επίσκεψη σε παραβιασμένη ιστοσελίδα

Tue, 09 Dec 2025 19:30:38 +0000

Η καμπάνια JS#SMUGGLER μολύνει χρήστες απλώς με μια επίσκεψη σε παραβιασμένες, κατά τα άλλα «κανονικές», ιστοσελίδες, καταλήγοντας στην εγκατάσταση του NetSupport RAT σε Windows.
Χρησιμοποιεί τριών σταδίων αλυσίδα με obfuscated JavaScript, κρυφό HTA μέσω mshta.exe και fileless εκτέλεση PowerShell, έτσι ώστε τα κλασικά antivirus να έχουν ελάχιστα ίχνη να εντοπίσουν.
Η καμπάνια τρέχει ήδη από τις αρχές Δεκεμβρίου 2025, στοχεύει κυρίως εταιρικούς χρήστες στην Ευρώπη, αλλά πρακτικά κάθε Windows σύστημα που μπαίνει σε επιχειρηματικά sites είναι υποψήφιο θύμα.

Η Securonix και άλλοι ερευνητές κυβερνοασφάλειας προειδοποιούν για μια νέα καμπάνια κακόβουλου λογισμικού με την ονομασία JS#SMUGGLER. Η επίθεση αξιοποιεί παραβιασμένες, απολύτως «κανονικές» ιστοσελίδες ως όχημα διανομής του NetSupport RAT, ενός πολύ διαδεδομένου εργαλείου απομακρυσμένης πρόσβασης που εδώ χρησιμοποιείται ως πλήρες Remote Access Trojan.

Το σημαντικό, και ενοχλητικά ειλικρινές, στοιχείο είναι ότι ο τελικός χρήστης δεν χρειάζεται να κάνει τίποτα «χαζό». Δεν ανοίγει ύποπτα συνημμένα, δεν τρέχει πειρατικά exe. Αρκεί να φορτώσει μια σελίδα που έχει ήδη μολυνθεί με τον JavaScript loader της καμπάνιας.

Πώς δουλεύει το JS#SMUGGLER, με απλά λόγια

Η αλυσίδα επίθεσης έχει τρία βασικά στάδια, όλα σχεδιασμένα να κρύβονται όσο γίνεται καλύτερα μέσα στον φυσιολογικό ιστό της σελίδας και των Windows.

Στάδιο 1 – ο JavaScript loader στον browser

Σε παραβιασμένα sites, οι επιτιθέμενοι έχουν ενσωματώσει έναν ιδιαίτερα βαριά obfuscated loader, γνωστό και ως «phone.js». Το script τρέχει αυτόματα όταν η σελίδα φορτώσει πλήρως, ελέγχει αν ο επισκέπτης είναι σε κινητό ή σε desktop και κρατά ένα «σημάδι» στο localStorage ώστε να εκτελεστεί μόνο την πρώτη φορά που θα επισκεφθείς τη σελίδα.

Αν ανιχνεύσει mobile συσκευή, δημιουργεί ένα αόρατο, fullscreen iframe που σε στέλνει σε κακόβουλη διεύθυνση, συνήθως για phishing ή άλλη μορφή επίθεσης. Αν δει desktop, κατεβάζει και εκτελεί αθόρυβα ένα δεύτερο JavaScript αρχείο από τον server του δράστη, προετοιμάζοντας το επόμενο βήμα.

Με άλλα λόγια, η μόλυνση ξεκινά ως κλασικό drive-by: φόρτωση σελίδας, καμία κίνηση από τον χρήστη, ο browser απλώς εκτελεί «νόμιμο» JavaScript.

Στάδιο 2 – HTA μέσω mshta.exe και fileless PowerShell

Το δεύτερο στάδιο κατεβαίνει από ειδικά φτιαγμένο URL και δεν είναι κλασικό HTML, αλλά HTA (HTML Application) που εκτελείται με το mshta.exe, ένα υπογεγραμμένο εκτελέσιμο των Windows που χρησιμοποιείται εδώ ως LOLBin (Signed Binary Proxy Execution) για να παρακάμψει πολιτικές ασφαλείας.

Το HTA τρέχει εντελώς κρυφά, χωρίς παράθυρο ή ένδειξη στην taskbar, και:

γράφει έναν προσωρινό PowerShell stager σε temp φάκελο
αποκρυπτογραφεί το κύριο payload με πολλαπλά στρώματα κρυπτογράφησης και συμπίεσης, συμπεριλαμβανομένων AES-256 και GZIP
εκτελεί τον τελικό PowerShell κώδικα απευθείας στη μνήμη, με παράκαμψη του ExecutionPolicy, ώστε να μην αφήνει κλασικά αρχεία στον δίσκο

Μετά την εκτέλεση, καθαρίζει τα προσωρινά αρχεία και κλείνει, αφήνοντας πίσω του ελάχιστα ίχνη. Για ένα απλό antivirus που βασίζεται στο σκανάρισμα αρχείων, όλη αυτή η ιστορία είναι πρακτικά αόρατη.

Στάδιο 3 – εγκατάσταση και επιμονή του NetSupport RAT

Το τρίτο στάδιο είναι ο πλήρης PowerShell downloader. Κατεβάζει ένα ZIP αρχείο από υποδομή των δραστών, το αποσυμπιέζει σε φάκελο με «ήπιο» όνομα κάτω από το ProgramData και εκκινεί το NetSupport client μέσω ενός JScript wrapper, ώστε να μπερδεύεται το γράφημα διεργασιών (wscript, run.js κτλ.).

Η ανάλυση της Securonix δείχνει ότι τα αρχεία αποσυμπιέζονται σε φάκελο C:\ProgramData\CommunicationLayer\, ενώ για επιμονή δημιουργείται συντόμευση με το όνομα «WindowsUpdate.lnk» στον φάκελο Startup του χρήστη. Έτσι, το RAT σηκώνεται ξανά σε κάθε εκκίνηση, χωρίς να χρειαστεί καθόλου δικαιώματα διαχειριστή.

Το NetSupport Manager, ως νόμιμο εργαλείο απομακρυσμένης διαχείρισης, προσφέρει στους διαχειριστές όλα όσα χρειάζονται. Στα χέρια επιτιθέμενου μετατρέπεται σε NetSupport RAT: απομακρυσμένη επιφάνεια εργασίας, αντιγραφή και διαγραφή αρχείων, εκτέλεση εντολών, πιθανό keylogging, ακόμα και χρήση του συστήματός σου ως proxy για επιθέσεις σε άλλους.

Ποιους στοχεύει και τι σημαίνει για τον μέσο χρήστη

Σύμφωνα με την ανάλυση της Securonix, η καμπάνια δεν δείχνει να στοχεύει συγκεκριμένο κλάδο ή χώρα, αλλά γενικά εταιρικούς χρήστες που επισκέπτονται επιχειρηματικά sites, portals συνεργατών, online εργαλεία κτλ. Οι υποδομές και ο τρόπος λειτουργίας παραπέμπουν σε οικονομικά υποκινούμενους δράστες ή access brokers, όχι σε «χακτιβισμό».

Για τον απλό χρήστη Windows, το μήνυμα είναι λίγο κυνικό: το γεγονός ότι δεν ανοίγεις ύποπτα συνημμένα δεν σε σώζει πάντα. Αν ο ιστότοπος μιας εταιρείας ή ενός προμηθευτή που εμπιστεύεσαι παραβιαστεί, μπορείς να μολυνθείς μόνο και μόνο επειδή μπήκες να «ρίξεις μια ματιά».

Για Linux desktop, η συγκεκριμένη αλυσίδα – με mshta.exe, HTA, PowerShell και .lnk συντομεύσεις – είναι πρακτικά μη λειτουργική. Η JavaScript θα τρέξει στον browser, αλλά τα επόμενα στάδια δεν έχουν πού να πατήσουν. Αυτό όμως δεν είναι «μαγική ασπίδα»: οι ίδιοι χειριστές μπορούν ανά πάσα στιγμή να προσθέσουν διαφορετικό payload για άλλες πλατφόρμες. Προς το παρόν, η καμπάνια όπως έχει εντοπιστεί είναι ξεκάθαρα προσανατολισμένη σε Windows.

Τι μπορείς να κάνεις στην πράξη

Αν είσαι απλός χρήστης ή power user σε Windows:

Κράτα browser και plugins ενημερωμένα, μαζί με το λειτουργικό. Παλιά engines και παλιά extensions είναι ο εύκολος στόχος.
Χρησιμοποίησε σοβαρό ad/script blocker (π.χ. uBlock Origin σε αυστηρή ρύθμιση) και σκέψου αν χρειάζεσαι οπωσδήποτε JavaScript ενεργό παντού. Ναι, θα χαλάσει κάποιες σελίδες. Ναι, αυτό είναι το point.
Αν δεν χρησιμοποιείς HTA καθόλου, αξίζει να μπλοκάρεις το mshta.exe σε επίπεδο πολιτικής ή μέσω του security λογισμικού σου. Πολλές εταιρείες ήδη το κάνουν ακριβώς για τέτοιες καμπάνιες.

Για έναν γρήγορο, εντελώς ακίνδυνο αυτοέλεγχο σε Windows, μπορείς να τρέξεις από γραμμή εντολών:

έλεγχο αν υπάρχει ο φάκελος C:\ProgramData\CommunicationLayer\
έλεγχο αν στον φάκελο Startup σου υπάρχει κάποια ύποπτη συντόμευση «WindowsUpdate.lnk»

Αν τα βρεις, δεν σημαίνει αυτόματα ότι έχεις μολυνθεί από αυτή ακριβώς την καμπάνια, αλλά είναι σοβαρό red flag και η σωστή κίνηση είναι αποσύνδεση του υπολογιστή από το δίκτυο και έλεγχος από ειδικό ή από το security team της εταιρείας σου.

Αν είσαι διαχειριστής ή υπεύθυνος ασφάλειας, το JS#SMUGGLER ουσιαστικά σου επιβεβαιώνει την τάση που ήδη βλέπεις:

web-based multi-stage επιθέσεις, με πολύ obfuscated JavaScript, device-aware branching (διαφορετική συμπεριφορά σε mobile και desktop) και ένα σωρό fileless τεχνικές
εκτεταμένη χρήση Windows LOLBins, όπως mshta.exe, wscript.exe και PowerShell, ώστε η αλυσίδα να φαίνεται όσο γίνεται πιο «νόμιμη» στα logs
τελικό payload όχι custom RAT, αλλά εμπορικό remote admin εργαλείο, που ήδη επιτρέπεται σε πολλούς οργανισμούς

Οι συστάσεις της Securonix είναι μάλλον το νέο baseline: ισχυρό Content Security Policy, ενισχυμένη καταγραφή PowerShell, περιορισμός mshta.exe, συμπεριφορική ανίχνευση αλυσίδων όπως mshta.exe → powershell.exe → wscript.exe και ενεργή επιτήρηση του Startup folder και φακέλων όπως ProgramData για ύποπτα executables και συντομεύσεις.

Τι να περιμένουμε στη συνέχεια

Το JS#SMUGGLER φαίνεται λιγότερο σαν «ένα ακόμη script» και περισσότερο σαν πλατφόρμα. Η δομή του, τα επίπεδα αποφυγής ανίχνευσης και η χρήση επαναχρησιμοποιημένων κομματιών (NetSupport, γνωστά LOLBins) δείχνουν framework που μπορεί σχετικά εύκολα να παραμετροποιηθεί.

Για τους απλούς χρήστες αυτό μεταφράζεται σε κάτι απλό αλλά όχι ευχάριστο: το web ως επιφάνεια επίθεσης θα συνεχίσει να γίνεται πιο «ύπουλο», όχι λιγότερο. Οι drive-by επιθέσεις θα θυμίζουν όλο και λιγότερο τα παλιά exploit kits με Flash και όλο και περισσότερο τέτοια πολυσταδιακά σενάρια που πατάνε πάνω σε νόμιμα components και εμπορικά εργαλεία.

Με ρεαλιστικούς όρους, αν χρησιμοποιείς Windows σε δουλειά ή σπίτι, το μόνο «εύκολο» μέτρο είναι να σκληρύνεις όσο αντέχεις τον browser και να αφήσεις σε ένα σοβαρό security stack το δύσκολο κομμάτι της ανίχνευσης. Και φυσικά, αν δεις περίεργη συμπεριφορά, αργό desktop ή «φαντάσματα» στο ποντίκι και το πληκτρολόγιο, μην το αποδίδεις πάντα σε Windows…

Πηγές

Κρυφό μικρόφωνο και σοβαρές τρύπες ασφαλείας στο NanoKVM της Sipeed, προειδοποιεί ερευνητής

Tue, 09 Dec 2025 15:39:08 +0000

- Σλοβένος ερευνητής ασφάλειας ανέλυσε το NanoKVM της Sipeed και βρήκε προεπιλεγμένους κωδικούς, ελλιπή προστασία στο web UI και εντελώς προβληματικούς ελέγχους firmware.
- Το φθηνό IP-KVM περιλαμβάνει και ενσωματωμένο μικρόφωνο που δεν αναφέρεται καθαρά στα υλικά του προϊόντος, μπορεί όμως να ενεργοποιηθεί απομακρυσμένα μέσω SSH και να γράψει ήχο.
- Η Sipeed έχει διορθώσει μέρος των θεμάτων, όμως ειδικοί συνιστούν επανεγγραφή του firmware με εναλλακτική διανομή Linux, αυστηρό διαχωρισμό του δικτύου και αποφυγή χρήσης σε ευαίσθητα περιβάλλοντα.

Το NanoKVM της κινεζικής Sipeed είναι ένα μικρό IP-KVM βασισμένο σε επεξεργαστή RISC-V, που υπόσχεται απομακρυσμένο έλεγχο υπολογιστών σε επίπεδο BIOS, με HDMI capture, εξομοίωση πληκτρολογίου και ποντικιού και δυνατότητα remote power control. Η πλήρης έκδοση κοστίζει περίπου 60 ευρώ, σαφώς φθηνότερα από λύσεις τύπου PiKVM, και γι’ αυτό έχει τραβήξει πολύ ενδιαφέρον σε homelab και μικρά IT περιβάλλοντα.

Η εικόνα αλλάζει όταν κοιτάξει κανείς την ασφάλεια. Ο ερευνητής Matej Kovačič δημοσίευσε στις 10 Φεβρουαρίου 2025 λεπτομερή ανάλυση, στην οποία διαπιστώνει ότι οι πρώτες εκδόσεις του NanoKVM έρχονταν με default password και ενεργό SSH, κάτι που πρακτικά άφηνε τη συσκευή ανοιχτή σε όποιον γνώριζε τον προκαθορισμένο κωδικό. Το web interface δεν είχε προστασία από επιθέσεις CSRF ούτε τρόπο να ακυρωθούν ενεργά sessions, ενώ το κλειδί κρυπτογράφησης για τους κωδικούς πρόσβασης στο browser ήταν hard coded και ίδιο σε όλες τις συσκευές, επιτρέποντας σχετικά εύκολη αποκρυπτογράφηση.

Ο ίδιος εντοπίζει και μια σειρά από πιο «βαθιά» προβλήματα: η συσκευή στέλνει DNS queries σε κινεζικούς DNS servers και επικοινωνεί τακτικά με υποδομές της Sipeed στην Κίνα για ενημερώσεις και για τη λήψη ενός κλειστού binary, του οποίου το κλειδί επαλήθευσης είναι αποθηκευμένο σε απλό κείμενο, ενώ δεν υπάρχει καμία ουσιαστική επαλήθευση ακεραιότητας των updates. Το Linux image της συσκευής είναι έντονα περικομμένο, αλλά περιλαμβάνει εργαλεία όπως tcpdump και aircrack που χρησιμοποιούνται συνήθως για ανάλυση πακέτων και δοκιμές ασφάλειας ασύρματων δικτύων, κάτι που, σε παραγωγική συσκευή πάνω σε προνομιούχο δίκτυο, είναι το λιγότερο κακή πρακτική.

Το πιο ανησυχητικό σημείο της έρευνας είναι η ανακάλυψη ενός μικροσκοπικού μικροφώνου στην πλακέτα. Ο ερευνητής περιγράφει ένα στοιχείο μεγέθους περίπου 2 x 1 χιλιοστό, το οποίο δεν αναφέρεται καθαρά στην τεκμηρίωση του προϊόντος, ενώ το λειτουργικό σύστημα του NanoKVM περιλαμβάνει ήδη τα απαραίτητα εργαλεία ALSA, όπως amixer και arecord. Με δύο εντολές μέσω SSH, κατάφερε να ξεκινήσει καταγραφή και να αντιγράψει το αρχείο ήχου από τη συσκευή, επισημαίνοντας ότι με λίγο scripting θα μπορούσε να στηθεί και live stream ήχου μέσω δικτύου.

Εδώ υπάρχει μια σημαντική λεπτομέρεια που δεν φαίνεται εύκολα στον θόρυβο γύρω από το θέμα. Το NanoKVM βασίζεται στην πλακέτα LicheeRV Nano, της οποίας τα επίσημα specs αναφέρουν αναλογικό μικρόφωνο ως δυνατότητα εισόδου ήχου. Αυτό σημαίνει ότι το στοιχείο δεν είναι κρυφό, αλλά μέρος μιας γενικής πλατφόρμας που η Sipeed αξιοποίησε για KVM. Παρ’ όλα αυτά, για τον τελικό χρήστη του NanoKVM, το μικρόφωνο είναι στην πράξη μη δηλωμένο, αφού δεν προβάλλεται ξεκάθαρα στα υλικά του προϊόντος, ενώ σε συνδυασμό με τις υπόλοιπες αδυναμίες κάνει τη συσκευή, δυνητική πηγή ηχητικής παρακολούθησης.

Η Sipeed απάντησε αναλυτικά στις επικρίσεις με δημόσιο κείμενο στο GitHub, όπου ο ιδρυτής της περιγράφει τις αποφάσεις σχεδίασης ως συμβιβασμό ανάμεσα στην ασφάλεια και την ευχρηστία. Παραδέχεται ότι το να βρίσκεται το κλειδί κρυπτογράφησης σκληροκωδικομένο στο frontend ήταν λανθασμένη πρακτική, ότι το SSH ενεργό από προεπιλογή ταιριάζει περισσότερο σε λειτουργία για developers και δεσμεύεται ότι επόμενες εκδόσεις θα μεταφέρουν τα κλειδιά σε configuration files και θα προσθέσουν έλεγχο ακεραιότητας στα app updates. Παράλληλα υπερασπίζεται την επιλογή για χρήση κεντρικών DNS και εφεδρικών μηχανισμών ως λύση σε προβλήματα συνδεσιμότητας χρηστών από διάφορες περιοχές.

Στα ρεπορτάζ που επανέφεραν το θέμα τον Δεκέμβριο 2025 σημειώνεται ότι αρκετά από τα πιο κραυγαλέα προβλήματα, όπως οι default κωδικοί και το ανοιχτό SSH, έχουν εν τω μεταξύ διορθωθεί. Παρ’ όλα αυτά, η γενική εικόνα παραμένει πως μία συσκευή που κάθεται δίπλα σε servers, με πρόσβαση σε BIOS και power controls, σχεδιάστηκε με λογική «IoT παιχνιδάκι» και όχι με κριτήρια enterprise ασφάλειας.

Από τη θετική πλευρά, τόσο ο ερευνητής όσο και η κοινότητα τονίζουν ότι, επειδή η πλατφόρμα είναι σε μεγάλο βαθμό ανοιχτού κώδικα, έχουν ήδη γίνει ports σε Debian και Ubuntu που τρέχουν τον κώδικα KVM της Sipeed πάνω σε πιο τυπικές και ελεγχόμενες διανομές Linux. Η διαδικασία απαιτεί άνοιγμα της συσκευής και επανεγγραφή της microSD με νέο image, όμως δίνει τη δυνατότητα να αφαιρεθούν περιττά εργαλεία, να ασφαλιστεί το σύστημα και, αν κάποιος θέλει, να αποκολληθεί και το μικρόφωνο.

Για τον μέσο αναγνώστη που έχει NanoKVM σε homelab ή μικρό γραφείο, η πρακτική είναι ξεκάθαρη: η συσκευή πρέπει να αντιμετωπίζεται σαν μη έμπιστος host στο δίκτυο. Αυτό σημαίνει ισχυρό, μοναδικό κωδικό, όσο γίνεται περιορισμό ή απενεργοποίηση του SSH, τοποθέτηση σε ξεχωριστό VLAN ή πίσω από αυστηρούς κανόνες firewall, καμία απευθείας έκθεση στο internet και χρήση VPN μόνο με την ελάχιστη αναγκαία επιφάνεια πρόσβασης. Για χρήσεις όπου υπάρχει αυξημένη ευαισθησία ή κανονιστικό πλαίσιο, όπως υποδομές υγείας ή εταιρικά δίκτυα, η ασφαλέστερη επιλογή είναι πιο ώριμες λύσεις IP-KVM ή τα ενσωματωμένα BMC συστημάτων με σοβαρή υποστήριξη.

Σε ευρύτερο επίπεδο, η υπόθεση NanoKVM δείχνει πόσο εύκολα ένα «φτηνό gadget για homelab» μπορεί να μπει σε κρίσιμες διαδρομές δικτύου χωρίς κανείς να έχει διαβάσει σοβαρά τεκμηρίωση ή πηγαίο κώδικα. Είναι λογικό η συζήτηση να εστιάζει στην Κίνα και στις υποχρεώσεις εταιρειών έναντι κυβερνήσεων, όμως ο ίδιος ο ερευνητής υπενθυμίζει ότι και μεγάλοι αμερικανικοί παίκτες έχουν βρεθεί να καταγράφουν ήχο ή να διαρρέουν δεδομένα μέσω ψηφιακών βοηθών. Το πραγματικό δίδαγμα δεν είναι «μην αγοράζεις από την τάδε χώρα», αλλά «ό,τι βάζεις στο δίκτυό σου, ειδικά αν έχει out of band πρόσβαση (IPMI, BMC κτλ.), πρέπει να περνάει από σοβαρό έλεγχο ασφάλειας, ανεξαρτήτως σημαίας πάνω στο κουτί».

Πηγές

Παραβίαση ασφάλειας στο SmartTube, μολυσμένες εκδόσεις έφτασαν σε Android TV και Fire TV

Wed, 03 Dec 2025 15:41:43 +0000

Η εφαρμογή SmartTube για Android TV και Fire TV παραβιάστηκε, καθώς τα ψηφιακά κλειδιά υπογραφής του προγραμματιστή υποκλάπηκαν.
Εκδόσεις γύρω από τις 30.43–30.47, αλλά και η 30.51, εντοπίστηκαν με μη εξουσιοδοτημένο κώδικα και θεωρούνται πιθανόν μολυσμένες.
Οι χρήστες πρέπει να αφαιρέσουν άμεσα τις παλιές εκδόσεις και να εγκαταστήσουν μόνο τη νέα επίσημα υπογεγραμμένη έκδοση με νέο App-ID.

Η εφαρμογή SmartTube, ένας ιδιαίτερα δημοφιλής εναλλακτικός πελάτης για το YouTube σε Android TV, Fire TV και TV box συσκευές, υπέστη σοβαρή παραβίαση ασφάλειας. Ο δημιουργός της εφαρμογής, Yuriy Yuliskov, ανακοίνωσε ότι ο υπολογιστής ανάπτυξης μολύνθηκε από κακόβουλο λογισμικό, το οποίο υπέκλεψε τα ψηφιακά κλειδιά με τα οποία υπογράφονταν οι εκδόσεις APK. Ως αποτέλεσμα, νεότερες εκδόσεις της εφαρμογής διανεμήθηκαν με μη εξουσιοδοτημένη υπογραφή και περιείχαν κώδικα που δεν υπήρχε στον δημόσιο πηγαίο κώδικα.

Οι εκδόσεις γύρω από τις 30.43–30.47, καθώς και η 30.51, εντοπίστηκαν ως πιθανόν μολυσμένες. Το Google Play Protect άρχισε να μπλοκάρει την εφαρμογή σε πολλές συσκευές, γεγονός που οδήγησε στη δημοσιοποίηση του περιστατικού. Αναλυτές λογισμικού διαπίστωσαν την προσθήκη μιας νέας native βιβλιοθήκης, «libalphasdk.so», η οποία δεν περιλαμβανόταν στα επίσημα build. Η βιβλιοθήκη συνέλεγε συστημικά αναγνωριστικά, στοιχεία δικτύου και άλλες τεχνικές πληροφορίες συσκευής, τα οποία έστελνε σε απομακρυσμένο server.

Παρότι γνωρίζουμε το είδος των δεδομένων που συλλέγονταν, δεν υπάρχει ακόμη πλήρης δημόσια τεχνική ανάλυση για το εύρος της διαρροής ή τον τρόπο αξιοποίησής της. Το περιστατικό δείχνει χαρακτηριστικά μιας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού, όπου στοχεύεται το περιβάλλον ανάπτυξης και όχι η ίδια η εφαρμογή.

Μετά την αποκάλυψη του ζητήματος, ο προγραμματιστής απέσυρε την παλιά υπογραφή, καθάρισε το περιβάλλον ανάπτυξης και κυκλοφόρησε νέα επίσημα υπογεγραμμένη έκδοση με νέο App-ID. Η ασφαλής έκδοση, σύμφωνα με τις τελευταίες ανακοινώσεις, είναι η 30.56.

Για τους χρήστες που έχουν SmartTube σε τηλεοράσεις, TV box ή Fire TV, η σύσταση είναι ξεκάθαρη. Πρέπει να απεγκαταστήσουν κάθε παλιά έκδοση, να επανεκκινήσουν τη συσκευή, να πραγματοποιήσουν έναν έλεγχο ασφαλείας και να εγκαταστήσουν μόνο τη νέα έκδοση από την επίσημη σελίδα. Δεδομένης της μεγάλης χρήσης της εφαρμογής, ο αριθμός δυνητικά επηρεασμένων συσκευών είναι σημαντικός.

Το περιστατικό λειτουργεί ως υπενθύμιση για τους κινδύνους που σχετίζονται με την εγκατάσταση εφαρμογών εκτός Play Store, ακόμη και όταν πρόκειται για open-source έργα. Η ασφάλεια των οικοσυστημάτων τηλεοράσεων και TV box γίνεται ολοένα και πιο κρίσιμη και αναμένεται ότι οι πλατφόρμες θα ενισχύσουν τους μηχανισμούς προστασίας μέσα στο 2026.

Πηγές

SmartTube YouTube app for Android TV breached to push malicious update — BleepingComputer
Popular YouTube app for Android TV SmartTube compromised with malware — CyberInsider
SmartTube app was infected by malware — gHacks
Android TV YouTube client SmartTube was infected with malware — Heise.de

Φθηνά μοντέλα Samsung καταγγέλλεται ότι περιέχουν μη αφαιρούμενο λογισμικό παρακολούθησης

Tue, 25 Nov 2025 18:03:31 +0000

Ερευνητές καταγγέλλουν ότι οικονομικά Galaxy A και M κυκλοφόρησαν σε χώρες της περιοχής WANA με κρυφή προεγκατεστημένη εφαρμογή AppCloud που δεν απεγκαθίσταται.
Το λογισμικό συνδέεται με την ironSource και φέρεται να συλλέγει ευαίσθητα προσωπικά δεδομένα χωρίς σαφή ενημέρωση ή συναίνεση των χρηστών.
Η Samsung δεν έχει δώσει ακόμη καθαρή δημόσια απάντηση, ενώ αυξάνεται η πίεση από οργανισμούς ιδιωτικότητας και ΜΜΕ.

Στις 20 Νοεμβρίου 2025 η Malwarebytes δημοσίευσε έρευνα σύμφωνα με την οποία οικονομικά μοντέλα Samsung των σειρών Galaxy A και M διανεμήθηκαν σε αγορές της Μέσης Ανατολής και Βόρειας Αφρικής, στην περιοχή WANA, με προεγκατεστημένη εφαρμογή AppCloud που λειτουργεί ως κρυφή υπηρεσία συστήματος και δεν μπορεί να αφαιρεθεί χωρίς πρόσβαση root, δηλαδή δικαιώματα διαχειριστή στο Android, κάτι που πρακτικά ακυρώνει την εγγύηση της συσκευής και δεν είναι ρεαλιστική επιλογή για κανέναν χρήστη. Η εφαρμογή δεν εμφανίζεται ως εικονίδιο ή κανονική εγκατεστημένη εφαρμογή στο περιβάλλον χρήσης και, σύμφωνα με τα δημοσιεύματα, διατηρεί επίμονη παρουσία ακόμη και αν ο χρήστης προσπαθήσει να την απενεργοποιήσει, καθώς επανέρχεται μετά από ενημερώσεις συστήματος.

Στο ίδιο θέμα είχε ήδη αναφερθεί η λιβανέζικη οργάνωση ψηφιακών δικαιωμάτων SMEX, η οποία τον Μάιο 2025 δημοσίευσε ανοικτή επιστολή προς τη Samsung καταγγέλλοντας ότι η AppCloud συνδέεται με την εταιρεία ironSource, ισραηλινής προέλευσης και πλέον μέρος της Unity, και λειτουργεί ως bloatware, δηλαδή ως προεγκατεστημένο λογισμικό που ο χρήστης δεν μπορεί να αφαιρέσει. Στην προκειμένη περίπτωση όμως φέρεται να συλλέγει πολύ περισσότερα από απλά στοιχεία χρήσης. Σύμφωνα με την SMEX και αναλύσεις μέσων όπως η Android Authority και το Forbes, η AppCloud έχει σχεδιαστεί ως πλατφόρμα προώθησης εφαρμογών, όμως στην πράξη μπορεί να καταγράφει ενδιαφέροντα, τοποθεσία, συμπεριφορά εγκατάστασης εφαρμογών και άλλα δεδομένα, ενώ η οργάνωση αφήνει ανοικτό το ενδεχόμενο να περιλαμβάνονται και πιο ευαίσθητα προσωπικά δεδομένα, όπως στοιχεία που μπορούν να οδηγήσουν σε λεπτομερές προφίλ του χρήστη.

Η AppCloud συνδέεται ιστορικά με την πλατφόρμα installCore διανομής λογισμικού, η οποία έχει κατηγορηθεί στο παρελθόν για επιθετικές πρακτικές εγκατάστασης, γεγονός που ενισχύει τις ανησυχίες για τον χαρακτήρα της. Σε επίπεδο ευρωπαϊκού δικαίου, η εικόνα που περιγράφουν οι οργανώσεις ιδιωτικότητας δημιουργεί ξεκάθαρα ερωτήματα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων, καθώς η εγκατάσταση λογισμικού με πρόσβαση σε ευαίσθητα προσωπικά δεδομένα χωρίς διαφανή ενημέρωση και ουσιαστική δυνατότητα άρνησης ή απεγκατάστασης δύσκολα συμβιβάζεται με την αρχή της ελαχιστοποίησης δεδομένων και της ελεύθερης συναίνεσης.

Για όσους εξετάζουν σήμερα την αγορά φθηνής συσκευής Samsung, η υπόθεση AppCloud σημαίνει ότι πρέπει να λάβουν υπόψη έναν υπαρκτό κίνδυνο για την ιδιωτικότητά τους, ειδικά αν η συσκευή προορίζεται για χρήση σε ευαίσθητα περιβάλλοντα, επαγγελματικά ή προσωπικά. Η εναλλακτική είναι είτε να αναζητήσουν μοντέλα και αγορές όπου δεν έχει εντοπιστεί η συγκεκριμένη εφαρμογή, είτε να στραφούν σε ανταγωνιστές που προσφέρουν πιο ξεκάθαρη πολιτική ως προς το προεγκατεστημένο λογισμικό και τις επιλογές που δίνουν στον χρήστη.

Μέχρι τη στιγμή που γράφονται αυτές οι γραμμές, η Samsung δεν έχει δώσει πλήρη και συγκεκριμένη δημόσια απάντηση στα τεχνικά και νομικά ερωτήματα που θέτουν οι ερευνητές και οι οργανώσεις, κάτι που αφήνει το θέμα ανοιχτό και αυξάνει την πιθανότητα παρέμβασης από ρυθμιστικές αρχές, ιδίως στην Ευρωπαϊκή Ένωση όπου τα ζητήματα ιδιωτικότητας σε smartphones βρίσκονται ήδη υπό αυστηρότερο έλεγχο. Αν η πίεση από οργανώσεις όπως η SMEX, από τα ΜΜΕ και από την ίδια την αγορά συνεχιστεί, είναι εύλογο να περιμένουμε ότι η εταιρεία θα αναγκαστεί να προσφέρει τουλάχιστον δυνατότητα πλήρους απενεργοποίησης ή αφαίρεσης της AppCloud μέσω ενημέρωσης λογισμικού, μαζί με διαφανή πολιτική απορρήτου που να εξηγεί ποια δεδομένα συλλέγονται, πώς αποθηκεύονται και με ποιον μοιράζονται.

Μέχρι τότε, η υπόθεση λειτουργεί ως παράδειγμα του πώς ένα «αθώο» εργαλείο προώθησης εφαρμογών μπορεί να μετατραπεί σε σοβαρό πρόβλημα εμπιστοσύνης, ειδικά όταν είναι μη αφαιρούμενο και κρυμμένο βαθιά στο σύστημα.

Πηγές
Budget Samsung phones shipped with unremovable spyware, say researchers — Malwarebytes
'Unremovable Israeli spyware' on your Samsung phone? Here's what the controversy is all about — Android Authority
Has Samsung Installed 'Unremovable Israeli Spyware' On Your Phone? — Forbes
Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region — SMEX