Security
HeadFlash Security: malware, luki, regulacje i przełomowy wyrok
Microsoft usuwa 119 rozszerzeń z malwarem, Apple przyspiesza łatki przez AI, Sąd Najwyższy zmienia zasady geofencingu – oto najważniejsze historie dnia.
Microsoft usuwa 119 rozszerzeń Edge ukrywających malware w obrazach i czcionkach
Microsoft usunął 119 rozszerzeń ze sklepu Microsoft Edge Add-ons, które ukrywały złośliwe oprogramowanie StegoAd w plikach PNG, WebP i czcionkach WOFF2. Kampania była aktywna co najmniej od 2021 roku i zgromadziła łącznie do 2,6 miliona użytkowników. Producent zawiesił również ponad 90 kont deweloperskich. Złośliwe oprogramowanie wykorzystywało techniki ukrywające kod JavaScript w miejscach pomijanych przez statyczne narzędzia analityczne, takie jak znacznik IEND w plikach PNG czy metadane WebP. Operator dostosowywał się do przejścia z Manifest V2 na V3 w formacie rozszerzeń Chromium. Rozszerzenia maskowano jako blokery reklam, VPN-y, tłumacze i downloadery wideo. Udokumentowane szkody obejmują oszustwa reklamowe i kradzież danych uwierzytelniających. Microsoft nie podał publicznie tożsamości sprawcy, ale potwierdził, że wciąż działa. Firma Koi Security powiązała domenę używaną do eksfiltracji danych z grupą DarkSpectre, jednak Microsoft nie skomentował tych ustaleń.
Microsoft Removes 119 Edge Extensions Hiding… | DeafNews →
Amerykański regulator ubezpieczeń potwierdza naruszenie danych przez lukę w Oracle PeopleSoft
National Association of Insurance Commissioners (NAIC) poinformował o naruszeniu bezpieczeństwa wykrytym 11 czerwca, a ujawnionym publicznie 17 czerwca. Atakujący wykorzystał lukę zero-day w systemie Oracle PeopleSoft, którego NAIC używa do wewnętrznej sprawozdawczości finansowej. Włamanie było częścią szerszej kampanii wymierzonej w wiele organizacji. Naruszone dane obejmują publicznie dostępne informacje finansowe oraz dane agencji ratingowych dotyczące oceny inwestycji ubezpieczycieli – w tym ratingi kredytowe. NAIC zapewnił, że nie wyciekły dane osobowe użytkowników, informacje płatnicze, dane z systemów stanowych ani dane z rejestru brokerów. Niektóre agencje ratingowe wstrzymały przesyłanie danych, co zmusiło NAIC do tymczasowego zawieszenia przypisywania ratingów inwestycjom. Organizacja współpracuje z FBI, a systemy wróciły do normy poza internetową płatnością faktur przez PeopleSoft.
US Federal Insurance Regulator Confirms Data Breach Via Oracle Flaw - Infosecurity Magazine →
Apple przyspiesza aktualizacje bezpieczeństwa w odpowiedzi na zagrożenia ze strony AI
Apple wydało iOS 26.5.2, iPadOS 26.5.2 i macOS 26.5.2 z łatkami pierwotnie planowanymi dla wersji 26.6. Aktualizacje naprawiają luki w jądrze systemu, WebKit i WebRTC. Firma przyznała, że wcześniejsze udostępnienie poprawek to bezpośrednia odpowiedź na nowe zagrożenia związane z coraz potężniejszymi modelami AI, które przyspieszają tworzenie złośliwych narzędzi. Apple podkreśliło, że nie ma dowodów na wykorzystanie załatanych luk, ale zdecydowano się skrócić okno czasowe między publikacją a wdrożeniem poprawek. Decyzja zapadła w kontekście rosnących obaw o zdolności AI do znajdowania podatności – rząd USA ograniczył dostęp do modeli Claude Fable 5 i Mythos 5, a OpenAI udostępnił w ograniczonym preview modele GPT-5.6. Japońskie Sakana AI zaprezentowało system Fugu, a chińska 360 Security Technology wprowadziła model Tulongfeng, który ma konkurować z Mythos.
Apple accelerates security updates in response to AI-powered hacking risks →
Projekt ustawy Warnera: federalna lista zaufanych agentów AI
Senator Mark Warner przedstawił projekt ustawy Artificial Intelligence Access, Gatekeeper Exchange, and Nondiscriminatory Transfer (AI AGENT) Act. Ustawa zakłada stworzenie federalnej listy certyfikowanych dostawców oprogramowania dla agentów AI. Agenci AI to programy podejmujące decyzje w imieniu użytkowników – np. robiące zakupy, publikujące treści czy zmieniające ustawienia kont – często bez wyraźnej zgody. Projekt przewiduje, że Federalna Komisja Handlu (FTC) będzie certyfikować niezależne podmioty weryfikujące dostawców. Każdy agent musi być powiązany z tożsamością człowieka-operatora i posiadać wbudowane mechanizmy kontroli uprawnień. Platformy z ponad 50 milionami użytkowników miesięcznie będą musiały umożliwić wybór przynajmniej jednego certyfikowanego agenta. To wstępny projekt – Warner zapowiedział zbieranie opinii przed formalnym wniesieniem ustawy. Tło: Morgan Stanley szacuje, że 23% Amerykanów dokonuje zakupów przez AI, a wydatki agentów mogą sięgnąć setek miliardów dolarów do 2030 roku.
Warner bill would create federally vetted list for secure, trustworthy AI agents →
Sąd Najwyższy USA: nakaz wymagany do geofencingu danych lokalizacyjnych
Sąd Najwyższy Stanów Zjednoczonych stosunkiem głosów 6:3 orzekł, że organy ścigania muszą uzyskać ważny nakaz przed przeprowadzeniem tzw. geofencing warrants – przeszukiwania danych lokalizacyjnych telefonów komórkowych. Sędzia Elena Kagan napisała w uzasadnieniu, że obywatel ma uzasadnione oczekiwanie prywatności co do lokalizacji swojego telefonu, a geofencing narusza to konstytucyjne prawo. Orzeczenie wyklucza zastosowanie doktryny osoby trzeciej, ponieważ użytkownicy nie dobrowolnie dzielą się swoją lokalizacją z firmą taką jak Google. Sprawa Chatrie v. United States dotyczy napadu na bank w 2019 roku. Policja, nie mając jasnych podejrzeń, zażądała od Google danych o urządzeniach znajdujących się w pobliżu banku. Lista potencjalnych podejrzanych zawęziła się z 19 do 3 osób, co doprowadziło do aresztowania Okello T. Chatrie. Sąd Najwyższy uznał, że taka praktyka jest niezgodna z IV Poprawką. Sprawa wraca do sądu niższej instancji, który zdecyduje, czy w konkretnym przypadku istniała przyczyna do wydania nakazu. Google już wcześniej przeniósł dane lokalizacyjne z serwerów Sensorvault na urządzenia użytkowników.
Supreme Court Supports Privacy Protections for Cellphone Location Data →