Η κλασική συμβουλή «ελέγξτε τη διεύθυνση του site» δεν αρκεί πλέον. Έρευνα της Malwarebytes αποκάλυψε τεχνική των λεγόμενων tech-support scammers που τους επιτρέπει να εισάγουν δικούς τους αριθμούς τηλεφωνικής υποστήριξης μέσα σε κανονικές σελίδες εταιρειών-κολοσσών, όπως Apple, Microsoft, HP, PayPal, Netflix και Bank of America. Το τέχνασμα ξεκινά με αγορασμένες διαφημίσεις Google Ads. Αν και το Google Ads δείχνει τον σωστό τομέα (π.χ. microsoft.com), οι επιτήδειοι προσθέτουν, δεξιά από το domain, αόρατες παραμέτρους URL. Όταν ο χρήστης πατήσει την διαφήμιση, φορτώνεται πράγματι η επίσημη σελίδα, όμως το embed query εμφανίζει στο πλαίσιο αναζήτησης ή σε άλλο ορατό σημείο έναν πλαστό αριθμό «υποστήριξης» που δεν ανήκει στην εταιρεία (Ars Technica).

Η επίθεση δεν στηρίζεται σε κακόβουλo κώδικα, αλλά σε ανεκτές λειτουργίες των ιστοσελίδων που δέχονται παραμέτρους αναζήτησης χωρίς επαλήθευση. Η Malwarebytes, που επλήγη προσωρινά, αναγκάστηκε να φιλτράρει τις ύποπτες παραμέτρους για να σταματήσει την κατάχρηση. Οι ανυποψίαστοι επισκέπτες, ιδίως όσοι έχουν προβλήματα όρασης ή βιάζονται, ενδέχεται να καλέσουν τον ψευδή αριθμό, παρέχοντας σε απατεώνες πρόσβαση σε προσωπικά ή οικονομικά δεδομένα, ή ακόμα και απομακρυσμένο έλεγχο του υπολογιστή τους.

Η Google απαιτεί από τους διαφημιζόμενους να εμφανίζουν το επίσημο domain, επιτρέποντας ωστόσο ελεύθερες παραμέτρους στο URL· αυτή η «ρωγμή» είναι που εκμεταλλεύεται η απάτη. Προς το παρόν, η Malwarebytes ενσωμάτωσε προειδοποιήσεις στον browser της, ενώ η εταιρεία συνιστά στους χρήστες να προτιμούν τα αποτελέσματα οργανικής αναζήτησης και να αποφεύγουν τα διαφημιστικά links όταν ψάχνουν στοιχεία επικοινωνίας.

Η επίθεση φωτίζει μια παράμετρο ασφάλειας που παραβλέπουμε: ακόμη και τα «καθαρά» domains μπορούν να φιλοξενήσουν παραπλανητικό περιεχόμενο όταν οι σελίδες τους αποδέχονται ανεξέλεγκτα ερωτήματα. Μέχρι οι πλατφόρμες να μπλοκάρουν συστηματικά τέτοιες καταχρήσεις, ο χρήστης καλείται να παραμένει καχύποπτος απέναντι στα νούμερα τηλεφώνου που εμφανίζονται «μαγικά» ακόμη και κάτω από το πιο αναγνωρίσιμο λογότυπο.

Στο φως ήρθε ότι περισσότερα από ένα εκατομμύριο μηνύματα δύο παραγόντων πιστοποίησης (2FA) που στάλθηκαν τον Ιούνιο 2023 διέρρευσαν μέσω της ελβετικής Fink Telecom Services, μιας άγνωστης στο ευρύ κοινό εταιρείας που λειτουργεί ως ενδιάμεσος διανομέας SMS. Τα μηνύματα περιείχαν τόσο τους κωδικούς μίας χρήσης όσο και μεταδεδομένα διαδρομής—πληροφορίες ικανές να χαρτογραφήσουν ποιος πάροχος έστειλε τι και σε ποιον. Η λίστα αποστολέων περιελάμβανε ονόματα-κολοσσούς όπως Amazon, Google, Meta, Snapchat, Tinder, Signal και WhatsApp (Bloomberg).

Η αποκάλυψη αναδεικνύει το διαχρονικό πρόβλημα του SMS ως φορέα ευαίσθητων κωδικών: σχεδόν όλες οι μεγάλες πλατφόρμες αναθέτουν τη διαχείρισή τους σε εξωτερικά aggregators για λόγους κόστους· σε αυτό το στάδιο, όμως, οι κωδικοί περνούν από δίκτυα που συχνά δεν ελέγχονται επαρκώς. Ο διευθύνων σύμβουλος της Fink Telecom, Andreas Fink, υποστήριξε ότι «νομικοί περιορισμοί» δεν τους επιτρέπουν να βλέπουν το περιεχόμενο των SMS, προσθέτοντας πως «δεν δραστηριοποιούμαστε πια στην παρακολούθηση». Τα δεδομένα, ωστόσο, επαληθεύθηκαν από ανεξάρτητους ειδικούς, επιβεβαιώνοντας την αυθεντικότητά τους.

Το περιστατικό έρχεται λίγες εβδομάδες αφότου η Valve παραδέχτηκε παραβίαση που αποκάλυψε αριθμούς τηλεφώνων και SMS-2FA αρχείων της πλειονότητας των λογαριασμών Steam—μια υπενθύμιση πως το αδύναμο σημείο δεν είναι πάντα ο χρήστης αλλά η ίδια η αλυσίδα διάδοσης των κωδικών (TechSpot).

Όσοι επιμένουν στην ασφάλεια καλούνται να στραφούν σε πιο στιβαρά μέσα: εφαρμογές ελέγχου ταυτότητας που παράγουν τους κωδικούς τοπικά ή φυσικά κλειδιά FIDO-U2F, ενώ για ευαίσθητους λογαριασμούς η βιομετρική επαλήθευση προσφέρει πρόσθετη θωράκιση. Μέχρι οι πάροχοι να εγκαταλείψουν οριστικά τα SMS ως δεύτερο παράγοντα, ο χρήστης παραμένει εκτεθειμένος στη «σιωπηλή» αδυναμία κάθε ενδιάμεσου που θα περάσει ο κωδικός του.

Ανησυχητικά ευρήματα από τη Cyble Research and Intelligence Labs φέρνουν στο φως εκτεταμένη εκστρατεία phishing μέσω του Google Play Store, με τουλάχιστον 20 πλαστές εφαρμογές κρυπτονομισμάτων που προσποιούνται δημοφιλή πορτοφόλια και υπηρεσίες DeFi.

Οι εφαρμογές εμφανίζονται ως νόμιμες, αλλά στην πραγματικότητα έχουν σκοπό να υποκλέψουν τις 12-λέξεις φράσεις ανάκτησης (mnemonic phrases) των θυμάτων. Πρόκειται για τη βασική μέθοδο ανάκτησης πρόσβασης σε crypto πορτοφόλια – και αν κάποιος αποκτήσει αυτή τη φράση, παίρνει πλήρη έλεγχο του πορτοφολιού σας.

Οι 9 πιο πρόσφατα καταγεγραμμένες πλαστές εφαρμογές

Αφού αφαιρέθηκαν τα διπλότυπα, η Cyble αναφέρει τις εξής ως ενεργές στο Play Store:

• Pancake Swap

• Suite Wallet

• Hyperliquid

• Raydium

• BullX Crypto

• OpenOcean Exchange

• Meteora Exchange

• SushiSwap

• Harvest Finance Blog

Οι εφαρμογές χρησιμοποιούν ονόματα και εικονίδια πανομοιότυπα με τις πραγματικές πλατφόρμες, ενώ φιλοξενούνται από λογαριασμούς προγραμματιστών που έχουν είτε παραβιαστεί είτε χρησιμοποιούνταν στο παρελθόν για γνήσιες εφαρμογές. Έτσι μειώνεται ο κίνδυνος εντοπισμού τους από τους αυτοματισμούς της Google.

Δομή και υποδομή phishing

Η εκστρατεία δεν περιορίζεται στο app store. Σύμφωνα με την Cyble, υποστηρίζεται από μεγάλης κλίμακας phishing υποδομή που περιλαμβάνει πάνω από 50 domains, με στόχο την εξάπλωση και τη διαφυγή από τα φίλτρα ασφαλείας.

Οι χρήστες καλούνται να εισαγάγουν το seed phrase μόλις ανοίξουν την εφαρμογή — ένα χαρακτηριστικό που καμία γνήσια εφαρμογή δεν θα απαιτούσε τόσο άμεσα και χωρίς προηγούμενο setup ή offline μέτρα ασφαλείας.

Πώς να προστατευτείτε

• Μην εισάγετε ποτέ τις 12 λέξεις σας σε εφαρμογές που μόλις εγκαταστήσατε

• Ελέγχετε πάντα ποιο είναι το ακριβές publisher name και το package name

• Προτιμήστε την εγκατάσταση μέσω επίσημων ιστοσελίδων των project και όχι μέσω αναζήτησης στο Play Store

• Χρησιμοποιήστε hardware wallets ή εφαρμογές με ανοιχτό κώδικα και διαφανή ιστορικό

• Αν εγκαταστήσατε οποιαδήποτε από τις παραπάνω εφαρμογές, διαγράψτε την άμεσα και μεταφέρετε τα funds σας σε νέο πορτοφόλι με καινούργιο seed

Η απειλή μεγαλώνει

Το 2024, οι απάτες με κρυπτονομίσματα απέφεραν έσοδα 9,9 δισεκατομμυρίων δολαρίων, και η Cyble προειδοποιεί ότι με την αύξηση των εργαλείων AI, οι scammers αναμένεται να γίνουν ακόμα πιο επικίνδυνοι μέσα στο 2025.

Δύο κρίσιμες ευπάθειες αποκάλυψε η Qualys Threat Research Unit (TRU) σε handlers που διαχειρίζονται core dumps σε διανομές Linux όπως Ubuntu, Red Hat Enterprise Linux και Fedora. Οι ευπάθειες, με κωδικούς CVE-2025-5054 και CVE-2025-4598, εντοπίζονται στα Apport και systemd-coredump αντίστοιχα, και αφορούν συνθήκες αγώνα (race conditions) που θα μπορούσαν να επιτρέψουν σε τοπικούς μη προνομιούχους χρήστες να αποκτήσουν πρόσβαση σε ευαίσθητο περιεχόμενο μνήμης από crashed SUID διεργασίες.

Τι ακριβώς είναι οι ευπάθειες;

CVE-2025-5054 (CVSS 4.7):

Αφορά την υλοποίηση του Apport έως και την έκδοση 2.32.0 στο Ubuntu. Ένας τοπικός επιτιθέμενος μπορεί να προκαλέσει crash σε SUID διεργασία και, μέσω ανακύκλωσης PID σε container, να παρακάμψει τους ελέγχους του Apport και να λάβει το core dump του αρχικού, προνομιούχου process εντός namespace.

CVE-2025-4598 (CVSS 4.7):

Πρόκειται για ευπάθεια στο systemd-coredump, όπου ο επιτιθέμενος προκαλεί crash σε SUID διεργασία και έπειτα αντικαθιστά το binary με μη-SUID διεργασία με το ίδιο PID, για να ανακτήσει το core dump με προνομιούχο περιεχόμενο (όπως το αρχείο /etc/shadow). Η ευπάθεια δεν επηρεάζει τα Ubuntu, ενώ τα Debian συστήματα δεν επηρεάζονται εξ ορισμού εκτός αν έχει εγκατασταθεί το systemd-coredump.

Ποιος κινδυνεύει;

Παρότι η αξιολόγηση σοβαρότητας είναι "Μέτρια", η Qualys δημοσίευσε proof-of-concept exploits που αποδεικνύουν ότι η πρόσβαση σε δεδομένα όπως hashed passwords από το /etc/shadow είναι δυνατή. Το εργαλείο unix_chkpwd, που χρησιμοποιείται για την επαλήθευση συνθηματικών, χρησιμοποιήθηκε για την επίδειξη της επίθεσης.

Πώς να προστατευτείτε

Για όσους δεν μπορούν να αναβαθμίσουν άμεσα το systemd, η Red Hat προτείνει την απενεργοποίηση των core dumps από SUID binaries μέσω:

echo 0 > /proc/sys/fs/suid_dumpable

Αυτό, ωστόσο, απενεργοποιεί πλήρως τη δυνατότητα δημιουργίας core dumps για SUID προγράμματα, γεγονός που επηρεάζει την ανάλυση σφαλμάτων για τέτοιες διεργασίες. Παρόμοιες οδηγίες εξέδωσαν και οι Amazon Linux, Debian, και Gentoo.

Επιπτώσεις και σύσταση

Κατά την Qualys, η εκμετάλλευση αυτών των ευπαθειών θα μπορούσε να αποκαλύψει κρυπτογραφικά κλειδιά, συνθηματικά, tokens ή άλλα ευαίσθητα δεδομένα που βρίσκονται προσωρινά στη μνήμη των προνομιούχων διεργασιών. Οι επιχειρήσεις που χρησιμοποιούν Apport ή systemd-coredump σε περιβάλλοντα πολυ-χρηστών ή containerized υποδομές θα πρέπει να προχωρήσουν σε:

• Ενημέρωση των πακέτων Apport και systemd

• Αναθεώρηση των πολιτικών core dump

• Περιορισμό πρόσβασης σε core dumps

• Συνεχή παρακολούθηση crash events

Εν Κατακλείδι

Οι CVE-2025-5054 και CVE-2025-4598 υπενθυμίζουν ότι ακόμα και υποσυστήματα διαχείρισης σφαλμάτων μπορούν να μετατραπούν σε πηγή διαρροής κρίσιμων δεδομένων. Η έγκαιρη υιοθέτηση διορθώσεων και ο επανασχεδιασμός των πολιτικών πρόσβασης στα crash dumps αποτελούν βασικά μέτρα προστασίας, ιδιαίτερα σε περιβάλλοντα με αυξημένο κίνδυνο εσωτερικών επιθέσεων.

Η Google Quantum AI δημοσίευσε χθες νέα προδημοσίευση (preprint), στην οποία αναλύεται το κόστος για να σπάσει κάποιος το αλγοριθμικό πρότυπο RSA-2048 με κβαντικό υπολογιστή. Το αποτέλεσμα είναι ανησυχητικό: ένας υπολογιστής με 1 εκατομμύριο qubits και θόρυβο (noisy qubits), θα μπορούσε θεωρητικά να καταρρίψει τη δημοφιλή κρυπτογραφική μέθοδο μέσα σε μία εβδομάδα. Πρόκειται για 20 φορές λιγότερους qubits σε σχέση με την αντίστοιχη εκτίμηση της Google το 2019.

Η εξέλιξη αυτή δεν σημαίνει ότι τέτοιοι υπολογιστές υπάρχουν ήδη — σήμερα, ακόμα και οι πιο προηγμένοι κβαντικοί επεξεργαστές κυμαίνονται σε κλίμακα 100 έως 1000 qubits, με σημαντικά υψηλότερα σφάλματα. Ωστόσο, η τάση είναι σαφής: κάθε λίγα χρόνια, η απόσταση μεταξύ θεωρίας και πράξης μειώνεται.

Το αποτέλεσμα προέκυψε από δύο κατευθύνσεις βελτίωσης:

• Αλγοριθμική βελτίωση: Σημαντική επιρροή είχε η προσέγγιση των Chevignard, Fouque και Schrottenloher (2024), οι οποίοι πρότειναν να γίνεται κατά προσέγγιση modular exponentiation, αντί για πλήρη ακριβή υπολογισμό, μειώνοντας έτσι τις απαιτήσεις σε προσωρινή μνήμη (work registers).
• Βελτιώσεις στην διόρθωση σφαλμάτων (error correction): Η Google αύξησε την πυκνότητα αποθήκευσης λογικών qubits (logical qubits) με διπλή στρώση κωδικών διόρθωσης, ενώ πρότεινε νέα τεχνική που ονομάζει “magic state cultivation”, ώστε να μειωθούν οι ενδιάμεσοι πόροι σε θεμελιώδεις κβαντικές πράξεις.

Τι σημαίνει αυτό για την ασφάλεια;

Ο οργανισμός NIST έχει ήδη δημοσιεύσει τις πρώτες επίσημες προδιαγραφές για post-quantum cryptography (PQC), οι οποίες σχεδιάστηκαν για να αντέχουν επιθέσεις από μελλοντικούς κβαντικούς υπολογιστές. Ο πιο γνωστός αλγόριθμος που προωθείται σήμερα για αντικατάσταση του RSA σε κρυπτογραφία μεταφοράς είναι το ML-KEM. Η Google ήδη χρησιμοποιεί τον ML-KEM τόσο για την κρυπτογράφηση της κίνησης στο Chrome, όσο και για τις εσωτερικές επικοινωνίες της.

Η ανάγκη για μετάβαση είναι ιδιαίτερα έντονη στην ασύμμετρη κρυπτογραφία, ειδικά για πρωτόκολλα επικοινωνίας και ψηφιακές υπογραφές. Σε περιπτώσεις όπως τα ψηφιακά πιστοποιητικά, τα firmware signatures ή τα στατικά δημόσια κλειδιά σε hardware, το ρίσκο είναι “store now, decrypt later”: δηλαδή, οι επιτιθέμενοι μπορούν να καταγράψουν σήμερα κρυπτογραφημένα δεδομένα και να τα αποκρυπτογραφήσουν στο μέλλον όταν η τεχνολογία το επιτρέψει.

Στις υπογραφές, η μετάβαση είναι ακόμα πιο περίπλοκη: τα κλειδιά υπογραφής είναι μακροβιότερα από τα ephemeral κλειδιά μεταφοράς, χρησιμοποιούνται σε περισσότερα σημεία και είναι πιο ελκυστικά για στόχευση όταν οι υπολογιστικοί πόροι του κβαντικού επιτιθέμενου είναι περιορισμένοι.

Η Google έχει ήδη ενσωματώσει PQC signature schemes σε preview στο Cloud KMS, ως υποδομή που θα διευκολύνει τη σταδιακή μετάβαση.

Χρονοδιάγραμμα και σύσταση

Το προσχέδιο έκθεσης του NIST για τη μετάβαση σε PQC προτείνει την κατάργηση ευάλωτων συστημάτων μετά το 2030 και την απαγόρευσή τους μετά το 2035. Η Google συμφωνεί με αυτό το χρονοδιάγραμμα και τονίζει πως, με βάση τα νέα δεδομένα, η προληπτική μετάβαση είναι επιτακτική. (Περισσότερα από την Google για PQC)

Εν Κατακλείδι
Η πτώση του ορίου qubit για την κατάρριψη του RSA υπενθυμίζει πως η απειλή δεν είναι θεωρητική — είναι σταδιακή και υπολογίσιμη. Όσο καθυστερεί η μετάβαση σε PQC, τόσο περισσότερο ενισχύεται το ρίσκο ότι κρίσιμα δεδομένα που κρυπτογραφούνται σήμερα ίσως να είναι προσβάσιμα αύριο. Για κράτη, εταιρείες και οργανισμούς, το “later” δεν είναι πλέον επιλογή.

Σε μια αποκάλυψη που προκαλεί ανησυχία, η ομάδα ερευνητών της Zero Day Initiative της Trend Micro παρουσίασε ένα σοβαρό κενό ασφαλείας στο πρωτόκολλο Apple Wireless Direct Link (AWDL), το οποίο χρησιμοποιείται ευρέως σε λειτουργίες όπως το AirPlay, το AirDrop και το Sidecar. Η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα μέσω Wi-Fi, χωρίς κανένα interaction από τον χρήστη και χωρίς φυσική πρόσβαση στη συσκευή.

Η παρουσίαση έγινε στο συνέδριο Pwn2Own 2024 στο Βανκούβερ και συνοδεύτηκε από την επιτυχή εκμετάλλευση της ευπάθειας σε iPhone 14, ενώ το ίδιο πρόβλημα φαίνεται να επηρεάζει και πλήθος άλλων συσκευών Apple, περιλαμβανομένων iPad, Apple Watch και υπολογιστών Mac με υποστήριξη AWDL. Ο μηχανισμός επίθεσης, που περιγράφηκε ως "0-click", σημαίνει ότι δεν απαιτείται καμία ενέργεια από τον κάτοχο της συσκευής — απλώς η σύνδεσή της σε Wi-Fi είναι αρκετή για να την καταστήσει ευάλωτη.

Η Apple έχει αναγνωρίσει το ζήτημα και κυκλοφόρησε ήδη διορθώσεις στο πλαίσιο των ενημερώσεων ασφαλείας του Απριλίου 2025 για το iOS, το iPadOS, το macOS και το watchOS. Παρόλα αυτά, ερευνητές προειδοποιούν ότι πολλές συσκευές παραμένουν σε παλαιότερες εκδόσεις, εκθέτοντας εκατομμύρια χρήστες στον κίνδυνο.

Αξιοσημείωτο είναι πως η εκμετάλλευση του κενού από τους ερευνητές δεν απαιτούσε προηγούμενη σύζευξη συσκευών, ούτε ενεργοποιημένες λειτουργίες όπως το AirDrop ή το Sidecar. Αρκούσε η ενεργοποίηση της AWDL στο παρασκήνιο — κάτι που συμβαίνει ακόμα και όταν ο χρήστης δεν το γνωρίζει.

Η Zero Day Initiative χαρακτήρισε το exploit ως ένα από τα πιο εντυπωσιακά του φετινού διαγωνισμού, και του απονεμήθηκε το υψηλότερο χρηματικό έπαθλο: $200.000. Η Apple, από πλευράς της, δεν έχει ανακοινώσει περισσότερες λεπτομέρειες, πέρα από τη δημοσίευση του σχετικού CVE-2024-23296.

Εν Κατακλείδι

Το περιστατικό αυτό υπογραμμίζει την ανάγκη για συστηματικές ενημερώσεις λογισμικού, ακόμη και σε οικοσυστήματα όπως της Apple που φημίζονται για την ασφάλειά τους. Οι "zero-click" επιθέσεις χωρίς φυσική πρόσβαση αποτελούν τον μεγαλύτερο κίνδυνο για τη σύγχρονη ψηφιακή ιδιωτικότητα — και το γεγονός ότι βασίζονται σε βασικές λειτουργίες του συστήματος καθιστά τη θωράκιση ακόμη πιο κρίσιμη.

Η ASUS κυκλοφόρησε επείγουσες ενημερώσεις firmware για να διορθώσει μια σοβαρή ευπάθεια που επηρέαζε διακομιστές της και σχετιζόταν με κώδικα της American Megatrends International (AMI). Το κενό ασφαλείας επέτρεπε σε επιτιθέμενους με πρόσβαση root ή administrator να μεταβάλλουν κρίσιμα στοιχεία του BMC firmware και να προκαλέσουν ανεπανόρθωτη βλάβη (bricking) στο server, καθιστώντας τον μη λειτουργικό.

Η ευπάθεια αφορά το εργαλείο AMIDebugRx64, το οποίο περιλαμβάνεται σε ορισμένα Baseboard Management Controllers (BMC) και επιτρέπει την απομακρυσμένη αποσφαλμάτωση συστημάτων σε επίπεδο hardware. Το AMIDebugRx64 είχε ανεπαρκείς ελέγχους ταυτοποίησης και προστασίας, αφήνοντας το πεδίο ανοιχτό για κακόβουλες επεμβάσεις σε κρίσιμες λειτουργίες του συστήματος.

Η ομάδα ασφαλείας της Eclypsium, που εντόπισε το πρόβλημα, ανέφερε ότι ένας επιτιθέμενος μπορούσε να χρησιμοποιήσει το ελάττωμα για να εκκινήσει λειτουργίες αποσφαλμάτωσης στο BMC, να αλλάξει το UEFI BIOS ή ακόμα και να διαγράψει περιοχές της flash μνήμης, προκαλώντας τη μόνιμη απώλεια του συστήματος χωρίς δυνατότητα ανάκτησης μέσω απλού reflashing.

Η ASUS, σε συνεργασία με την AMI, δημοσίευσε ήδη patches για τα επηρεαζόμενα server μοντέλα. Παράλληλα, καλεί τους διαχειριστές συστημάτων να ενημερώσουν άμεσα τα firmware των BMC modules και να εφαρμόσουν τις τελευταίες εκδόσεις ασφαλείας για να αποτραπεί κάθε πιθανότητα εκμετάλλευσης. Σημειώνεται ότι, αν και η εκμετάλλευση απαιτεί υψηλά δικαιώματα, σε περιβάλλοντα όπου πολλοί χρήστες έχουν αυξημένα προνόμια ή σε περιπτώσεις εσωτερικής απειλής, το ρίσκο θεωρείται ιδιαίτερα σοβαρό.

Η συγκεκριμένη υπόθεση αναδεικνύει για ακόμη μια φορά την ευαλωτότητα κρίσιμων firmware στοιχείων που, αν και συχνά παραβλέπονται, αποτελούν βασικούς στόχους για επιθέσεις σε σύγχρονα datacenters και cloud περιβάλλοντα. Οι αναλυτές ασφαλείας επισημαίνουν ότι η προστασία των BMC και η συνεχής αναβάθμιση τους είναι πλέον απαραίτητη πρακτική για κάθε οργανισμό που θέλει να διατηρήσει την επιχειρησιακή του συνέχεια απέναντι στις εξελιγμένες κυβερνοαπειλές.

Μια νέα μορφή κυβερνοεπίθεσης, με την ονομασία Slopsquatting, αναδύεται απειλητικά από τη σκιά της τεχνητής νοημοσύνης. Σύμφωνα με έρευνα πανεπιστημίων των ΗΠΑ, οι “παραισθήσεις” των μεγάλων γλωσσικών μοντέλων (LLMs) οδηγούν στην αυτόματη πρόταση ανύπαρκτων βιβλιοθηκών ή πακέτων λογισμικού, τα οποία επιτήδειοι καταχωρούν και “φορτώνουν” με κακόβουλο κώδικα.

Πώς λειτουργεί το Slopsquatting

Το φαινόμενο περιγράφηκε αρχικά από τον Seth Larson του Python Software Foundation, και συνίσταται στη στοχευμένη εκμετάλλευση λανθασμένων εξαρτήσεων (dependencies) που δημιουργεί η τεχνητή νοημοσύνη κατά τη συγγραφή κώδικα. Σε αντίθεση με το παραδοσιακό typosquatting – που βασίζεται σε πληκτρολογικά λάθη – το Slopsquatting εκμεταλλεύεται λάθη του ίδιου του LLM, δημιουργώντας έναν νέο τύπο απειλής για την εφοδιαστική αλυσίδα λογισμικού.

Πόσο διαδεδομένες είναι οι ψευδείς προτάσεις;

Η μελέτη αξιολόγησε 16 διαφορετικά μοντέλα κώδικα, ανάμεσά τους τα GPT-4, GPT-3.5, CodeLlama, DeepSeek και Mistral. Το 19,7% των προτεινόμενων πακέτων αποδείχθηκαν ανύπαρκτα, με το ποσοστό αυτό να αυξάνεται στο 21,7% για ανοιχτού κώδικα μοντέλα, και να πέφτει στο 5,2% για εμπορικά, όπως το GPT-4. Το CodeLlama αναδείχθηκε ως το χειρότερο (με πάνω από 33% hallucination rate), ενώ το GPT-4 Turbo εμφάνισε μόλις 3,59% ψευδείς προτάσεις.

Ακόμα πιο ανησυχητικό είναι το γεγονός ότι οι “παραισθήσεις” αυτές είναι επαναλαμβανόμενες και πειστικές. Στις επαναληπτικές δοκιμές, το 43% των ανύπαρκτων πακέτων επανεμφανίστηκαν σε κάθε εκτέλεση του ίδιου prompt, ενώ το 58% παρουσιάστηκαν σε περισσότερες από μία εκτελέσεις.

Γιατί είναι τόσο επικίνδυνο

Τα ονόματα των πακέτων που "παράγουν" τα LLMs είναι συχνά ρεαλιστικά, με 38% να έχουν σημαντική ομοιότητα (string similarity) με υπαρκτές βιβλιοθήκες. Μόνο 13% σχετίζονται με απλά ορθογραφικά λάθη.

Αυτό σημαίνει ότι ένας επιτιθέμενος μπορεί εύκολα να προβλέψει και να καταχωρήσει ένα hallucinated πακέτο, φορτώνοντάς το με malware, το οποίο στη συνέχεια εισάγεται αυτόματα από ανυποψίαστους developers που εμπιστεύονται τα AI εργαλεία.

Όπως σχολίασε η Socket, «αν ένα πακέτο που δεν υπάρχει αρχίσει να εμφανίζεται σε χιλιάδες snippets κώδικα που παράγονται από LLMs, και κάποιος το έχει καταχωρήσει πρώτος, το ενδεχόμενο ευρείας παραβίασης είναι απολύτως υπαρκτό».

Μέτρα προστασίας και κίνδυνοι επαναλαμβανόμενοι

Παρότι μέχρι στιγμής δεν έχουν καταγραφεί επιβεβαιωμένα περιστατικά Slopsquatting “στην άγρια φύση”, οι ειδικοί τονίζουν την ανάγκη για άμεση πρόληψη. Η Socket συνιστά την εγκατάσταση εργαλείων ελέγχου εξαρτήσεων πριν την κυκλοφορία και κατά την εκτέλεση, ώστε να εντοπίζονται και να απομονώνονται πιθανώς κακόβουλα πακέτα.

Ταυτόχρονα, εκφράζονται ανησυχίες για την περιορισμένη δοκιμή (testing) που υφίστανται σήμερα τα LLMs, καθώς εταιρείες όπως η OpenAI φέρεται να μείωσαν τον χρόνο και τους πόρους για την ασφάλεια των μοντέλων, σύμφωνα με το ίδιο ρεπορτάζ. 

Το Slopsquatting είναι περισσότερο από μια θεωρητική απειλή. Πρόκειται για μια πρόβλεψη του τι συμβαίνει όταν η τεχνητή νοημοσύνη "δημιουργεί" χωρίς έλεγχο και η κοινότητα των developers δεν διασταυρώνει. Και όπως φαίνεται, αυτό το κενό το περιμένουν ήδη οι επιτιθέμενοι να το γεμίσουν.

Η 16η Απριλίου 2025 μπορεί να καταγραφεί ως μια σκοτεινή ημέρα για την παγκόσμια κυβερνοασφάλεια. Την ημέρα αυτή, η σύμβαση της MITRE με το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ (DHS), που αφορά στη διαχείριση του θεμελιώδους προγράμματος Common Vulnerabilities and Exposures (CVE), λήγει χωρίς να έχει εξασφαλιστεί ακόμη η ανανέωσή της. Το πρόγραμμα CVE, μαζί με το Common Weakness Enumeration (CWE), αποτελεί για πάνω από δύο δεκαετίες τον ακρογωνιαίο λίθο του συντονισμού και της διαφάνειας στην αποκάλυψη ευπαθειών λογισμικού.

Τι είναι τα CVE και CWE και γιατί έχουν σημασία;

Τα CVE λειτουργούν ως μοναδικά αναγνωριστικά για γνωστές ευπάθειες, επιτρέποντας σε αναλυτές ασφαλείας, προγραμματιστές, οργανισμούς και κρατικές υπηρεσίες να μιλούν την ίδια "γλώσσα". Το CWE από την άλλη, προσφέρει μια τυποποιημένη ταξινόμηση κοινών προγραμματιστικών σφαλμάτων που οδηγούν σε ευπάθειες. Από σαρωτές ασφαλείας και βάσεις δεδομένων ευπαθειών, έως feeds απειλών και πλατφόρμες διαχείρισης patches, ολόκληρο το οικοσύστημα κυβερνοασφάλειας εξαρτάται καθημερινά από τις πληροφορίες που παρέχει το CVE.

Η ξαφνική παύση λειτουργίας του, ακόμη και για λίγες ημέρες, θα προκαλέσει αλυσιδωτές επιπτώσεις σε κάθε επίπεδο: από τη διανομή συμβουλευτικών ενημερώσεων (advisories) έως τη διαχείριση κρίσεων σε κρίσιμες υποδομές.

Χωρίς Εναλλακτικό Σχέδιο  – Ένα Σημείο Αποτυχίας για την Παγκόσμια Ασφάλεια

Η MITRE, η οποία διαχειρίζεται το πρόγραμμα με χρηματοδότηση του DHS, ανακοίνωσε πως η σύμβασή της εκπνέει χωρίς να υπάρχει ακόμη επίσημη συμφωνία ανανέωσης. Όπως εξήγησε ο Jason Soroko της Sectigo, αν η κατάσταση δεν επιλυθεί άμεσα, «θα υπάρξει ουσιαστική υποβάθμιση των εθνικών και διεθνών βάσεων δεδομένων ευπαθειών, με σοβαρές συνέπειες για προμηθευτές εργαλείων, ομάδες απόκρισης περιστατικών και κρίσιμες υποδομές».

Ορισμένα ιστορικά δεδομένα θα παραμείνουν διαθέσιμα μέσω GitHub, όμως η λειτουργία ανάθεσης νέων CVE και η επίσημη επικύρωσή τους θα σταματήσει. Ο Greg Anderson, ιδρυτής του DefectDojo, περιέγραψε την κατάσταση ως «κατάρρευση του συνεκτικού μοντέλου ονοματολογίας ευπαθειών» και προειδοποίησε για ένα πιθανό χάος, όπου διαφορετικοί οργανισμοί θα ονομάζουν την ίδια ευπάθεια διαφορετικά, καθιστώντας την επικοινωνία μεταξύ ομάδων ασφαλείας εξαιρετικά δύσκολη.

Παγκόσμια Αντίδραση και Αγωνία

Καθώς κυβερνητικές υπηρεσίες και εταιρείες ασφαλείας στηρίζουν την πολιτική και επιχειρησιακή τους στρατηγική στο CVE, η αβεβαιότητα έχει σημάνει συναγερμό. Ο Casey Ellis, ιδρυτής του Bugcrowd, τόνισε πως το CVE «υποστηρίζει ουσιώδη στοιχεία της διαχείρισης ευπαθειών και της προστασίας κρίσιμων υποδομών», χαρακτηρίζοντας το ενδεχόμενο παύσης ως «ζήτημα εθνικής ασφάλειας».

Η κοινότητα κυβερνοασφάλειας καλεί την κυβέρνηση των ΗΠΑ να δράσει άμεσα, προκειμένου να διασφαλιστεί η απρόσκοπτη συνέχιση της λειτουργίας του προγράμματος.

Ένα Μάθημα για το Μέλλον

Ανεξαρτήτως της έκβασης των διαπραγματεύσεων, το παρόν περιστατικό λειτουργεί ως ηχηρή υπενθύμιση: δεν είναι δυνατόν ένα τόσο κρίσιμο στοιχείο της παγκόσμιας ψηφιακής ασφάλειας να εξαρτάται από ετήσιες συμβάσεις και πολιτικές καθυστερήσεις. Απαιτείται ένα σταθερό και ανθεκτικό μοντέλο διακυβέρνησης και χρηματοδότησης, που να διασφαλίζει τη συνέχεια της λειτουργίας ακόμη και σε αβέβαιες συνθήκες.

Σε έναν κόσμο που δέχεται πάνω από 40.000 νέες ευπάθειες τον χρόνο, το CVE δεν είναι απλώς ένας κατάλογος. Είναι η βάση πάνω στην οποία χτίζεται η συλλογική μας άμυνα απέναντι στις ψηφιακές απειλές.

Αν πάψει να λειτουργεί, η ασφάλειά μας θα πάψει να είναι συλλογική. Και τότε, κάθε οργανισμός θα παλεύει μόνος του στο σκοτάδι.

Η Microsoft ανακοίνωσε τον εντοπισμό 20 άγνωστων μέχρι πρότινος ευπαθειών σε τρεις δημοφιλείς open-source bootloaders: τον GRUB2, τον U-Boot και τον Barebox. Η ανακάλυψη έγινε μέσω του εργαλείου ανάλυσης κώδικα Security Copilot, το οποίο ανέλαβε να επιθεωρήσει μεγάλα και σύνθετα αποθετήρια λογισμικού με στόχο την αποκάλυψη πιθανών τρωτών σημείων. Ο GRUB2 χρησιμοποιείται ως ο βασικός bootloader στις περισσότερες διανομές Linux, ενώ οι U-Boot και Barebox εντοπίζονται κυρίως σε embedded και IoT συσκευές.

Συνολικά, εντοπίστηκαν έντεκα ευπάθειες στον GRUB2 και εννέα στους U-Boot και Barebox. Οι ευπάθειες περιλαμβάνουν buffer overflows, integer overflows και, σε μία περίπτωση, μία side-channel επίθεση που σχετίζεται με τη λειτουργία κρυπτογραφικής σύγκρισης τιμών στη μνήμη. Πολλά από τα σφάλματα σχετίζονται με τον χειρισμό αρχείων και συστημάτων αρχείων όπως SquashFS, EXT4, JFS, ReiserFS, RomFS και άλλα. Ειδικότερα στον GRUB2, τα σφάλματα αφορούν τόσο στον χειρισμό file systems όσο και σε εντολές όπως το read και το dump, με τη δεύτερη να επιτρέπει την αυθαίρετη ανάγνωση περιοχών μνήμης — κάτι που σε παραγωγικά συστήματα θα έπρεπε να είναι απενεργοποιημένο.

Η Microsoft επισημαίνει ότι, ενώ για τους U-Boot και Barebox απαιτείται φυσική πρόσβαση στη συσκευή για την εκμετάλλευση των σφαλμάτων, στην περίπτωση του GRUB2 οι ευπάθειες μπορούν, υπό συγκεκριμένες συνθήκες, να αξιοποιηθούν για την παράκαμψη του UEFI Secure Boot και την εγκατάσταση κακόβουλων bootkits. Αυτό θα μπορούσε να οδηγήσει σε πλήρη έλεγχο της διαδικασίας εκκίνησης, παράκαμψη μηχανισμών όπως το BitLocker, και εγκατάσταση επίμονου malware που θα επιβίωνε ακόμα και μετά από επανεγκατάσταση του λειτουργικού ή αντικατάσταση δίσκου.

Ανάμεσα στα πιο σοβαρά σφάλματα συγκαταλέγεται η ευπάθεια CVE-2025-0678, η οποία αφορά integer overflow κατά την ανάγνωση SquashFS αρχείων και βαθμολογείται με CVSS 7.8 (υψηλής σοβαρότητας). Όλες οι υπόλοιπες ευπάθειες χαρακτηρίζονται ως μέσης σοβαρότητας.

Το Security Copilot δεν εντόπισε απλώς τις ευπάθειες, αλλά πρότεινε και στοχευμένες διορθώσεις, διευκολύνοντας έτσι τη διαδικασία έκδοσης ενημερώσεων — κάτι ιδιαίτερα σημαντικό σε έργα ανοιχτού κώδικα, τα οποία συχνά υποστηρίζονται από μικρές κοινότητες ή εθελοντές. Η Microsoft υποστηρίζει ότι με τη βοήθεια του εργαλείου τεχνητής νοημοσύνης εξοικονομήθηκε τουλάχιστον μία εβδομάδα χειροκίνητης ανάλυσης κώδικα, ενώ οι ίδιες τεχνικές εφαρμόστηκαν και σε U-Boot/Barebox όπου εντοπίστηκαν παρόμοια προβλήματα λόγω κοινής βάσης κώδικα.

Οι διαχειριστές των GRUB2, U-Boot και Barebox έχουν ήδη εκδώσει ενημερώσεις ασφαλείας από τον Φεβρουάριο του 2025. Οι χρήστες καλούνται να αναβαθμίσουν άμεσα στις τελευταίες εκδόσεις για να διασφαλίσουν ότι τα συστήματά τους προστατεύονται, ιδιαίτερα όταν χρησιμοποιούνται μηχανισμοί όπως το UEFI Secure Boot ή το BitLocker.

Η συγκεκριμένη αποκάλυψη φέρνει στο προσκήνιο τη δυνατότητα της τεχνητής νοημοσύνης να επιταχύνει ουσιαστικά τον εντοπισμό ευπαθειών σε μεγάλα έργα λογισμικού, ενισχύοντας την ασφάλεια στον ανοιχτό κώδικα. Ταυτόχρονα, αναδεικνύει τον αυξανόμενο ρόλο της Microsoft στον χώρο του proactive vulnerability research, με επίκεντρο έργα που αποτελούν βασικά δομικά στοιχεία σε σύγχρονες υποδομές πληροφορικής.

Με κοινή τους δήλωση στις 25 Μαρτίου 2025, τρεις κορυφαίοι οργανισμοί του ΟΗΕ – η Διεθνής Οργάνωση Πολιτικής Αεροπορίας (ICAO), η Διεθνής Ένωση Τηλεπικοινωνιών (ITU) και ο Διεθνής Ναυτιλιακός Οργανισμός (IMO) – εξέφρασαν «βαθύτατη ανησυχία» για την αυξανόμενη παρεμβολή στα παγκόσμια δορυφορικά συστήματα πλοήγησης (GNSS). Τα φαινόμενα jamming και spoofing έχουν ενταθεί, διαταράσσοντας τις υπηρεσίες που χρησιμοποιούν το φάσμα ραδιοσυχνοτήτων της Υπηρεσίας Δορυφορικής Ραδιοπλοήγησης (RNSS).

Τα συστήματα GNSS, όπως το GPS, Galileo, GLONASS και BeiDou, αποτελούν κρίσιμη υποδομή για την ασφάλεια και αποδοτικότητα της πολιτικής αεροπορίας, της ναυσιπλοΐας, των ανθρωπιστικών αποστολών αλλά και των τηλεπικοινωνιών. Οι παρεμβολές όχι μόνο μπορούν να διακόψουν τις υπηρεσίες πλοήγησης και χρονισμού, αλλά και να οδηγήσουν λανθασμένα πλοία ή αεροσκάφη, με επικίνδυνες συνέπειες για την ανθρώπινη ζωή και την εφοδιαστική αλυσίδα.

Οι οργανισμοί καλούν τα κράτη-μέλη να προστατεύσουν ενεργά το φάσμα RNSS από επιβλαβείς μεταδόσεις που μπορούν να προκαλέσουν παραπλανητικά ή αποδιοργανωτικά σήματα. Προτείνεται η ενίσχυση της ανθεκτικότητας των συστημάτων που βασίζονται σε GNSS, η διατήρηση εφεδρικών υποδομών πλοήγησης, η ανάπτυξη τεχνικών αντιμετώπισης, καθώς και η εντατική συνεργασία μεταξύ ρυθμιστικών, αμυντικών και επιχειρησιακών φορέων.

Το jamming αφορά την αποστολή περιττών ή μη αναγνωρίσιμων σημάτων που καταπνίγουν το νόμιμο σήμα GNSS, ενώ το spoofing αναφέρεται στην εκπομπή πλαστών σημάτων που παραπλανούν τους δέκτες, οδηγώντας τους σε λανθασμένους υπολογισμούς θέσης. Η ITU καλεί τις κυβερνήσεις να αναφέρουν τέτοια περιστατικά στον Διεθνή Οργανισμό Ραδιοεπικοινωνιών για να καταγράφεται και να παρακολουθείται η παγκόσμια κατάσταση.

Το ραδιοφάσμα αποτελεί κοινό και πεπερασμένο φυσικό πόρο, κρίσιμο για τις επικοινωνίες, τη μετακίνηση και τη λειτουργία σύγχρονων κοινωνιών. Όπως τόνισε η Γενική Γραμματέας της ITU, Doreen Bogdan-Martin, «η διασφάλιση της αδιάλειπτης λειτουργίας των GNSS είναι θεμελιώδης για την ασφάλειά μας στον αέρα, στη θάλασσα και στην ξηρά».

Δύο Ισπανοί ερευνητές της εταιρείας Tarlogic Security, οι Miguel Tarascó Acuña και Antonio Vázquez Blanco, αποκάλυψαν στο συνέδριο RootedCON στη Μαδρίτη ότι ανακάλυψαν μη καταγεγραμμένες εντολές στον δημοφιλή μικροελεγκτή ESP32 της εταιρείας Espressif, ο οποίος παρέχει συνδεσιμότητα Wi-Fi και Bluetooth σε εκατομμύρια συσκευές IoT παγκοσμίως.

Σύμφωνα με δημοσίευμα του BleepingComputer, οι κρυφές αυτές εντολές (γνωστές ως Opcode 0x3F) δεν περιλαμβάνονται στα δημόσια έγγραφα της Espressif και θεωρούνται ιδιαίτερα επικίνδυνες, καθώς μπορούν να χρησιμοποιηθούν για παραποίηση της διεύθυνσης MAC, έγχυση κακόβουλων πακέτων Bluetooth (LMP/LLCP) και, το πιο ανησυχητικό, για την τροποποίηση της μνήμης RAM και Flash της συσκευής.

Η ανακάλυψη αυτή καταγράφηκε με την ονομασία CVE-2025-27840, και θεωρείται ότι θέτει σοβαρούς κινδύνους ασφαλείας για χρήστες και κατασκευαστές. Ειδικά η δυνατότητα εγγραφής στη Flash μνήμη ενδέχεται να επιτρέψει σε επιτιθέμενους να αποκτήσουν μόνιμη παρουσία (persistence) στη συσκευή, ανοίγοντας τον δρόμο για περαιτέρω κακόβουλες ενέργειες, όπως διασπορά malware ή εκτέλεση σύνθετων κυβερνοεπιθέσεων μέσω Bluetooth.

Οι ερευνητές της Tarlogic Security ανέπτυξαν ειδικό λογισμικό για την ανάλυση της Bluetooth επικοινωνίας, το οποίο επέτρεψε να εντοπιστούν οι μη τεκμηριωμένες εντολές. Οι ίδιοι τονίζουν πως, αν και η πρόσβαση στις κρυφές αυτές εντολές απαιτεί συνήθως φυσική σύνδεση με τη συσκευή μέσω USB ή UART, δεν αποκλείεται σε συγκεκριμένα σενάρια και η απομακρυσμένη εκμετάλλευσή τους—ειδικά αν ο επιτιθέμενος έχει ήδη καταφέρει να αποκτήσει δικαιώματα διαχειριστή ή να εγκαταστήσει κακόβουλο λογισμικό.

Η Espressif, κατασκευάστρια εταιρεία των ESP32, δεν έχει ακόμη σχολιάσει δημόσια την αποκάλυψη. Ωστόσο, η ευπάθεια έχει καταγραφεί επίσημα ως CVE-2025-27840 και ήδη προκαλεί ανησυχία στη βιομηχανία IoT, με αρκετούς ειδικούς να ζητούν επείγουσα ενημέρωση και σαφή διευκρίνιση από την Espressif σχετικά με την αντιμετώπιση του προβλήματος.

Η κατάσταση αναμένεται να επηρεάσει πολλές εταιρείες και κατασκευαστές, αφού ο ESP32 αποτελεί βασικό στοιχείο αναρίθμητων συσκευών IoT, από έξυπνες λάμπες και οικιακούς αυτοματισμούς, μέχρι συστήματα ασφαλείας και έξυπνα ρολόγια. Η Espressif θα χρειαστεί άμεσα να προβεί σε επίσημη τοποθέτηση και ενημέρωση των χρηστών της, ώστε να περιορίσει τις πιθανές επιπτώσεις.