/ Безопасность / Исследования
	- Атаки на инфраструктуры
	- Методы атак
	- Механизмы защиты
	- Проблемы с криптографией
·	21.04.2025	Оценка сетевых запросов, отправляемых web-браузерами при первом запуске (259 +51) ↻
	Опубликованы результаты анализа сетевой активности при работе браузеров Firefox, Chrome, Safari, Edge, Opera, Brave, Yandex Browser, Ungoogled Chromium, Mullvad Browser, Vivaldi, Librewolf, Arc, Tor Browser, Kagi Orion, Pale Moon, Floorp, Zen, Waterfox и Thorium. Целью исследования была оценка трафика, связанного с отправкой браузерами служебных сетевых запросов, не связанных с обработкой контента, просматриваемого пользователем. Помимо передачи телеметрии подобные запросы используются для проверки наличия обновлений, загрузки списков блокировки вредоносного контента и фильтрации рекламы, формирования содержимого стартовой страницы... (259 +51) ↻ обсуждение | весь текст
·	09.03.2025	В чипах ESP32 выявлены недокументированные команды для управления контроллером Bluetooth (149 +48)
	Исследователи из компании Tarlogic Security представили на проходящей в Испании конференции RootedCON результаты анализа низкоуровневой начинки микрочипов ESP32, оснащённых встроенными контроллерами Wi-Fi и Bluetooth. Судя по опубликованному в 2023 году отчёту китайской компании Espressif, по всему миру продано более миллиарда экземпляров ESP32. В ходе анализа загружаемых в чип прошивок исследователи выявили 29 недокументированных HCI-команд (Host Controller Interface), предназначенных для управления Bluetooth-контроллером... (149 +48) обсуждение | весь текст
·	06.03.2025	Google опубликовал инструментарий для анализа и изменения микрокода AMD (101 +38)
	Инженеры из компании Google раскрыли детали уязвимости (CVE-2024-56161), позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода в процессорах AMD на базе 1-4 поколений микроархитектуры Zen. Одновременно под лицензией Apache 2.0 опубликован инструментарий Zentool, разработанный в процессе исследования методов работы с микрокодом в процессорах AMD. Также подготовлено руководство по микроархитектуре RISC86, применяемой в микрокоде AMD, и заметка по созданию собственного микрокода. Показано как можно создавать собственные процессорные инструкции, реализуемые на микрокоде RISC86, менять поведение существующих инструкций и загружать изменения микрокода в процессор... (101 +38) обсуждение | весь текст
·	03.03.2025	В БД для обучения AI-моделей Common Crawl выявлено около 12 тысяч API-ключей и паролей (46 +23)
	Исследователи из компании Truffle Security опубликовали результаты анализа публичного набора данных Common Crawl, используемого при обучении больших языковых моделей (например, DeepSeek и ChatGPT). В исследовании использован декабрьский архив Common Crawl, включающий 400 терабайт данных с содержимым 2.67 миллиардов web-страниц... (46 +23) обсуждение | весь текст
·	27.01.2025	Уязвимость, позволяющая разблокировать, заводить и отслеживать автомобили Subaru (118 +40)
	В сервисе Subaru STARLINK, позволяющем контролировать состояние автомобиля через мобильное приложение, выявлены проблемы с безопасностью, дающие возможность получить неограниченный доступ ко всем автомобилям и учётным записям клиентов из США, Канады и Японии. К панели администратора STARLINK оказалась возможно получить доступ через уязвимость в механизме восстановления забытого пароля. Для получения доступа к автомобилю через панель администратора STARLINK достаточно знать телефонный номер, email, автомобильный номер или фамилию с ZIP-кодом владельца... (118 +40) обсуждение | весь текст
·	06.01.2025	Скрытая командная оболочка в синтезаторе Yamaha, позволившая выполнить код через MIDI (219 +71)
	Анна Антоненко, занимающаяся разработкой встраиваемых систем и в свободное время развивающая операционную систему BOSS (BEAM-based Operating System with Security), опубликовала результаты обратного инжиниринга музыкального синтезатора Yamaha PSR-E433. В ходе проведённой работы в синтезаторе был выявлен обфусцированный shell-интерфейс, позволивший организовать выполнение своего кода на уровне прошивки. Доступ к shell-интерфейсу осуществляется посредством отправки MIDI-пакетов с сообщениями SysEx, которые можно передать при подключении синтезатора через порт USB. Полученные в ходе обратного инжиниринга сведения о чипе и прошивках, а также примеры кода и отладочные дампы размещены на GitHub... (219 +71) обсуждение | весь текст
·	05.01.2025	Накручивание звёзд вредоносным репозиториям на GitHub (112 +19)
	Исследователи из Университета Карнеги-Меллона, Университета штата Северная Каролина и компании Socket разработали инструментарий для определения проектов с накрученным рейтингом на GitHub. В результате применения инструмента было выявлено 3.1 млн фиктивно выставленных звёзд, охватывающих 15835 репозиториев. Для накрутки были задействованы 278 тысяч учётных записей... (112 +19) обсуждение | весь текст