🕵‍♂️ WhatsApp снова оказался проводником для вредоносного кода: виновата логика отображения файлов

Meta* официально признала: баг в Windows-версии WhatsApp позволял запускать вредоносный код через подмену типа файла (CVE-2025-30401). Уязвимость банально, но эффективно эксплуатировала разницу между тем, как файл выглядел и как реально обрабатывался.

Это уже вторая подобная история за год. Ещё в июле была аналогичная уязвимость с .py и .php файлами. Складывается ощущение, что у десктопного клиента WhatsApp хронические проблемы с безопасной обработкой вложений. И это не просто "ошибки кода", а следствие архитектурных решений, не учитывающих многослойность угроз.

Тренд очевиден: атаки через мессенджеры становятся всё более изощрёнными, и вектор "вложение → эксплойт" активно эксплуатируется спецслужбами, киберпреступниками и частными разведгруппами. Пока клиент ориентирован на удобство, атаки продолжают вскрывать слепые зоны UX-безопасности.

#whatsapp, #уязвимость, #infosec @SecLabNews

Секреты работы Meta*, компенсация за рекламные звонки, подробная карта работающего мозга — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🔥 В мире


Бывшая сотрудница компании раскрывает секреты работы Meta* в Китае

Пентагон инвестирует триллионный бюджет в цифровизацию поля боя

Google DeepMind изолирует сотрудников от индустрии ИИ на полгода и дольше

Цукерберг готовится к главному суду в истории Meta*

Уйгурский активист боролся с Китаем, а на деле служил ему

👀 В России

Власти планируют контролировать искусственный интеллект

В Telegram появились метки для каналов, зарегистрированных в Роскомнадзоре

Верховный суд признал право на компенсацию морального вреда за навязчивые рекламные звонки

Роскомнадзор просит не шифроваться по-западному

«Таможенники» из Telegram разводят людей на доверии

🔐 Новости в сфере ИБ

Исследователи обнаружили элементарный способ захвата сетевого оборудования Calix

Критический баг в NVIDIA Container Toolkit пришлось исправлять дважды

Невидимые шпионы проникли в сердце финансовой системы крупнейшей экономики мира

Малый бизнес стал лакомой добычей киберпреступников

Юридический спам, который крадет реальные деньги

💎 Новости науки и технологий

Биоразлагаемый кардиостимулятор избавляет младенцев от повторных операций на сердце

Физики исправили уравнения Эйнштейна квантовой механикой

Китайские ученые нашли недостающие 58 миллионов лет нашей истории

Ассистент на ИИ пишет тексты, рисует и собирает приложения

Ученые создали самую подробную карту работающего мозга

*Meta признана экстремистской и запрещена в России

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🕵‍♂️Цвет, который предавал: Google изолирует «:visited»

Механизм смены цвета ссылок в браузере оказался ахиллесовой пятой приватности. Теперь Chrome изолирует его архитектурно — спустя 20 лет.

CSS-селектор :visited, казалось бы, безобидный элемент визуального интерфейса, стал основой десятков изощрённых атак на приватность пользователей. От анализа пикселей до тайминговых каналов — всё ради того, чтобы сайт узнал, где вы были. И Google только сейчас закрыл эту дыру, несмотря на её публичность более десяти лет.

Система «тройной изоляции» в Chrome 136 — не просто патч, а изменение парадигмы. Посещённые ссылки теперь изолированы по URL, домену и контексту фрейма. Такой подход меняет правила игры: сайты больше не смогут видеть «чужие» следы даже при помощи легитимных CSS-инструментов. Это первый пример полноценной архитектурной сегментации приватной информации в мейнстрим-браузере — шаг, на который не решились ни Firefox, ни Safari.

#Google #Chrome #Privacy #BrowserSecurity

@SecLabnews

🕵‍♂️ Telegram против «серых аналитиков»

Блокировки начались с подарков, но под ударом — сбор поведенческих данных.

14 апреля Telegram заблокировал @getSendGiftsBot — сервис, отслеживающий движение цифровых подарков. Бот показывал историю владельцев, рыночную стоимость и информацию о передаче между пользователями. Разработчик предположил, что причиной стала выдача данных о всех типах подарков — от обычных до коллекционных.

Создатель проекта заявил, что считает блокировку связанной не с NFT-составляющей, а именно с отображением движения подарков и их статусов. В Telegram-канале проекта указано, что бот признан «вредоносным».

Telegram нащупывает границу между прозрачностью и приватностью. Если тренд продолжится, следующий этап — ужесточение условий для любых проектов, обрабатывающих даже косвенные метаданные. Вопрос не в NFT, а в видимости поведения.

#Telegram #Privacy #Bots

@SecLabnews

🕵‍♂️ Спорт как поле битвы: АНБ обвиняют в диверсии на зимних играх

Китай обвинил Агентство национальной безопасности США в координации атак на критическую инфраструктуру во время Азиатских игр — и впервые публично назвал имена предполагаемых агентов и вовлечённые университеты. Это беспрецедентный шаг, который переводит киберконфликт в фазу прямых и персонализированных обвинений, с явным посылом: атаки больше не анонимны, а исполнители — вполне конкретны.

Ключевой акцент в обвинениях — активация предустановленных уязвимостей Windows. Это может означать не только использование готовых эксплойтов, но и возможное участие в supply chain-атаках или доступ к информации о zero-day до их публикации. Комбинация с европейскими и азиатскими хостингами усиливает картину распределённой, но централизованно управляемой кампании.

Независимо от истинности обвинений, эта история раскрывает важную тенденцию: кибероперации больше не ограничиваются военными и дипломатическими объектами. Спорт, наука, логистика — всё становится ареной. И в этой игре нет запасных.

#кибербезопасность #США_Китай #международныеотношения #хакерскиеатаки

@SecLabNews

🕵‍♂️soyclipse: 4chan пробит изнутри

Хакеры из Soyjak.party заявили о масштабной атаке на 4chan под названием «soyclipse». Утекли скриншоты админ-панелей, список модераторов и "дворников", шаблоны банов и, возможно, данные подписчиков 4chan Pass. По их словам, доступ к системе удерживался больше года.

Техническая причина — предположительно, устаревшая версия PHP 2016 года с множеством известных уязвимостей, которые, вероятно, и были использованы. Форум временно отключил серверы, но ущерб, судя по опубликованным материалам, оказался глубоким и системным.

4chan долгое время был неформальной зоной влияния в сети: мемы, утечки, цифровой активизм. Теперь он сам стал объектом демонстративной атаки — с полной экспозицией внутренних механизмов.

#4chan #soyclipse #взлом #утечкаданных

@SecLabNews

🧮 47 дней на жизнь: индустрия сокращает срок SSL/TLS-сертификатов

С 2029 года срок действия SSL/TLS-сертификатов сократится до 47 дней, DCV — до 10. Это решение принято CA/Browser Forum при поддержке Apple, Google, Microsoft и Mozilla. Инициатива исходит из логики: чем чаще происходит ротация, тем меньше окно эксплуатации скомпрометированных сертификатов. В теории — шаг к снижению рисков. На практике — удар по рутинным процессам.

Первый этап начнётся уже в 2026 году — 200 дней, затем 100 в 2027-м, и финальные 47 в 2029-м. Это потребует полной автоматизации жизненного цикла сертификатов. Но в инфраструктурах с устаревшими системами и ручным управлением замена станет непрерывной нагрузкой. Форумы уже полны обсуждений: без DevOps-интеграции и CI/CD-пайплайнов админы окажутся в замкнутом цикле «обновить и забыть».

Этот переход — не просто регламент. Это смена модели: от статичных доверительных отношений к управлению рисками в режиме real-time. Те, кто не подготовятся заранее, рискуют утонуть в собственных же SLA.

#SSL #сертификаты #TLS #автоматизация #DevOps

@SecLabNews

🕵‍♂️Перезагрузись, чтобы защититься

Google подрывает эффективность Cellebrite, не затрагивая UX

Функция, на первый взгляд незначительная, может радикально осложнить жизнь digital forensic-лабораториям: Android теперь самостоятельно перезапускает себя после трёх дней простоя. Такой мягкий «factory reset» на минималках возвращает устройство в BFU-режим (до первого разблокирования) — данные остаются зашифрованными, а значит, бесполезными без ключа.

С учётом того, что большинство атак требует физического доступа и заранее разблокированного устройства, эта мера бьёт точно по больному месту. Если раньше злоумышленник мог выждать удобный момент, то теперь против него играет само время.

Тот факт, что таймер жёстко зафиксирован и не настраивается, говорит о приоритете безопасности над удобством. И в этом есть логика: массовая платформа, наконец, адаптирует идеи из мира hardened-ОС — теперь каждый Android знает, когда лучше «забыть всё».

#Android #DigitalForensics #BFUрежим

@SecLabNews

🕵‍♂️ Математика против государства

Почему криптография не подчиняется законам Флориды — и что из этого выйдет

Флорида на грани законодательного конфликта с криптографией: новый законопроект SB 868 предлагает обязать мессенджеры встроить технически недостижимую функцию — расшифровку end-to-end сообщений для полиции. Этот механизм, если его создать, уничтожит не только приватность, но и саму идею безопасного общения.

Попытка ограничить исчезающие сообщения и внедрить "родительский контроль" на уровне архитектуры платформ выглядит как политически удобное, но технически катастрофичное решение. Подобные backdoor-подходы уже много лет отвергаются как индустрией, так и академическим сообществом.

Итог предсказуем: либо массовый отказ от сквозного шифрования для несовершеннолетних (а возможно, и в целом), либо исход сервисов из штата. Закон, направленный на защиту детей, может в реальности превратить их в идеальные цели для киберпреступников.

#мессенджеры #переписка #законопроект

@SecLabNews

🙅‍♂️ Сомневаться — не значит быть занудой

Мы привыкли думать, что критическое мышление — нечто сухое и академичное. А если это ключ к свободе? К свободе от манипуляций, от ложных экспертов и от собственных когнитивных ловушек.

Автор показывает, как этот навык эволюционировал вместе с человечеством: философы‑классики, эпоха Просвещения, цифровая революция. Читая, словно проживаешь маленькую историческую сагу, где главный герой — ваш здравый смысл.

В финале — практический «арсенал»: упражнения «Адвокат дьявола», «Связанные факты», дневник вопросов. Берите и применяйте, чтобы завтра же видеть мир ярче и чётче. Подробности ждут по ссылке — не упустите шанс прокачать главный навык века!

#мышление #фильтр #осознанность

@SecLabNews

⚙️ Государство без людей: чиновники идут на свалку истории

Когда министр открытым текстом говорит, что ИИ может заменить половину чиновников — это не фантазия, а признание: ручное управление деградировало до набора шаблонных реакций. И если алгоритм справляется лучше — зачем держать балласт?

Речь не о сокращении кадров — речь о том, что сама логика бюрократического аппарата устарела. Механизм, который работал в XIX веке, больше не выдерживает нагрузки XXI. Его проще переписать в Python, чем реформировать через регламенты.

Минцифры это понимает. Не деньги, а доступ к электричеству становится новой валютой власти. Субсидий не дадут — но льготы на техприсоединение получат те, кто строит вычислительные мозги для цифрового Левиафана. Холодно, прагматично, по-кремниевому.

#ИИвГосуправлении #Минцифры #АвтоматизацияЧиновников

@SecLabNews

🕵‍♂️ Белый список шифрования: растущая база контроля или пролог к фильтрации?

75 тысяч IP-адресов с «иностранным шифрованием» в белом списке ЦМУ — это уже не статистика, а архитектура будущей фильтрации. Ставка на сигнатурный анализ VPN-протоколов подтверждает: разворачивается фаза массовой DPI-инвентаризации, в которой цель — не отключение, а контроль маршрута данных.

С технической стороны интересно то, как именно российская инфраструктура будет разделять легитимный TLS от «опасного». Учитывая распространённость тех же TLS 1.2/1.3 и WireGuard в бизнесе, реальная задача в том, чтобы фильтрация не разнесла корпоративный трафик.

Иначе говоря, без детального контекстного анализа и адаптивного DPI, блокировки рискуют превратиться в акт термоядерной цензуры: когда лучше выжечь весь участок, чем допустить утечку. Пока бизнесу остаётся один выход — добровольная деанонимизация перед регулятором.

#VPNконтроль #DPIмониторинг #Белыйсписок

@SecLabNews

🛰 5,7 Тбит/с по воздуху: симфония на инфракрасной частоте

5,7 Тбит/с на расстоянии 4,6 км — и ни одного метра волокна. Исследователи TU/e передали рекордный объём данных между двумя кампусами города по узконаправленному инфракрасному лучу. Это первая в мире демонстрация FSO-связи с такой плотностью и дальностью.

В основе — технология оптической связи в свободном пространстве (Free Space Optics, FSO) с мультидлиной волн, ранее применявшейся только в оптоволоконных системах. Вместо радиочастот — сфокусированный световой луч, вместо кабелей — прямая видимость и ювелирная точность наведения. Проект реализован на стенде Reid Photonloop с учётом городских условий, включая климатические и инфраструктурные помехи.

Система пока уязвима к туману и осадкам, но уже рассматривается как способ соединения базовых станций 5G и 6G с основной сетью. Если устойчивость удастся довести до промышленного уровня, у городов появится новый класс каналов, где воздух становится средой с пропускной способностью выше оптоволокна.

@SciTechQuantumAI

Язык дельфинов, фейковые документы, единый код всех жидкостей Вселенной — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

⚡️ В мире

Случайный эксперимент оставил без связи тысячи людей в Бразилии

Китайские фабрики шьют Prada и Hermès без Prada и Hermès

Общение с родными за границей стало поводом для ареста в Тибете

Google обучил ИИ понимать язык дельфинов

Telegram начал блокировать ботов, собирающих данные о пользователях

🔈 В России

Банк влетел на 200 тысяч за WhatsApp

Ведомство предложило регулировать использование обезличенных данных

Минцифры хочет запретить подключение мобильной связи при самозапрете

Пользователями сайтов теперь считают только при полной загрузке страницы

Группировка Paper Werewolf распространяет вирус через фейковые документы и зараженные флешки

‼️ Новости в сфере ИБ

Злоумышленники атакуют посольства ЕС, прикрывая код виноградной лозой

Вирусы под видом игр атакуют Android через Telegram

Китайская кибергруппировка UNC5174 развернула новую атаку на Linux-системы

Кибератака обнажила беспомощность медицинской инфраструктуры перед цифровыми угрозами

Форум 4chan подвергся масштабной хакерской атаке

💎 Новости науки и технологий

Microsoft дала ИИ настоящий инструмент программиста — и он впервые узнал, как сложно быть человеком

Ученые раскрыли ароматический код человеческих отношений

Астрофизики предложили объяснение парадокса Хаббла, которое никто не ожидал

Ученые выяснили, что гравитация, газ и черные дыры простираются гораздо дальше, чем мы думали

Математики нашли единый код всех жидкостей Вселенной

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🧪 От пробирки до сервера: где ломается геномика

Секвенаторы нового поколения — это уже не просто лабораторные приборы, а полноценные киберфизические системы. И как показало новое исследование, они открывают не только геном, но и ворота для атак.

Уязвимость NGS-платформ (секвенирование нового поколения) начинается с биообразца и заканчивается алгоритмами интерпретации ДНК. На каждом этапе — цифровые дыры: прошивки, сети, хранилища, программные модули, API и даже искусственно созданная ДНК с вредоносной вставкой. Добавим сюда машинное обучение и открытые базы данных — и получим идеальную точку входа для атак с непредсказуемыми последствиями.

Кибербиобезопасность — пока что белое пятно. Авторы исследования составили подробную карту угроз и подчёркивают: нужна защита на стыке ИБ и биотехнологий. Потому что компрометация генетических данных — это не просто утечка, а прямое вмешательство в основы человеческой природы.

#кибербиология #генетика #информационнаябезопасность

@SecLabNews

📦 «Бэкдор?» — Telegram лучше уедет, чем сдаст приватность

Франция чуть не стала первой страной, где приватность признали вне закона: Сенат одобрил бэкдоры, Ассамблея остановила. Но ровно на три дня — дальше слово взял префект полиции.

Дуров напомнил, почему идея провальна: нельзя сделать бэкдор только для полиции — уязвимость будет для всех. Плюс преступники просто уйдут в менее известные приложения, с VPN в придачу.

Telegram снова чётко обозначил позицию: шифрование — это не про преступников, а про защиту обычных людей. И если придётся выбирать между рынком и правами пользователей — мессенджер уйдёт с рынка.

#Telegram #Дуров #Шифрование

@SecLabNews