🤑 Карты KioSoft позволяли бесконечно пополнять баланс

Исследователи SEC Consult нашли дыру в NFC-картах компании KioSoft, с помощью которой можно было «клепать деньги из воздуха». Уязвимость CVE-2025-8699 позволяла хакеру многократно увеличивать баланс карты до $655 и снова повторять процесс.

Причина проста — баланс хранился прямо на карте, а не в защищённой базе. Виновата технология MIFARE Classic, давно известная своими дырами. Достаточно было устройства вроде Proxmark и базовых знаний, чтобы обойти систему.

На исправление бага KioSoft понадобился целый год. Только после вмешательства CERT компания выпустила обновление летом 2025-го, пообещав новые решения с усиленной защитой. Но проверку качества патчей исследователи провести уже не смогли, да и версии прошивок KioSoft так и не назвала.

🥸 godnoTECH - Новости IT

🤱 Вайб-кодинг сделал сениоров нянями ИИ

Старшие разработчики всё чаще жалуются, что вместо реальной разработки они превращаются в «нянек ИИ». Сначала ИИ пишет код, потом сениоры тратят часы на его переписывание и исправление. По данным Fastly, 95% программистов вынуждены дорабатывать вайб-код, причём больше всего страдают опытные специалисты.

Ошибки самые разные — от искажённых имён пакетов до дыр в безопасности. Разработчики отмечают, что вайб-кодинг часто работает как «упрямый подросток»: приходится просить много раз, а на выходе получается смесь нужного и ненужного кода, который ещё и ломает проект. В итоге рождается целая индустрия по «очистке вайб-кода», которую компании начинают отдавать на аутсорс.

Идея ускорить разработку часто оборачивается дополнительными тратами времени и нервов. Сами разработчики признают, что ИИ может быть полезен для быстрых прототипов и генерации идей, но без человеческой проверки строить на таком коде продукт рискованно.

🥸 godnoTECH - Новости IT

🌹 ChatGPT используют больше для личного чем для работы

OpenAI проанализировала 1,1 млн диалогов с мая 2024 по июнь 2025 и выяснила, что 70% всех обращений к ChatGPT сегодня связаны с личными или бытовыми задачами. Работа осталась на втором плане.

Самые популярные сценарии — практические советы (29%), поиск информации (24%) и написание текстов (24%). Запросы на код и программирование сократились с 12% до 5%, хотя в абсолютных цифрах их стало больше из-за роста общего числа пользователей. После появления мультимедийных функций заметно подросла работа с картинками — с 2% до 7%.

Интересный тренд — почти половина обращений исходит от пользователей младше 26 лет, а быстрее всего растёт активность в странах с низким и средним доходом. Баланс полов тоже почти ровный: 48% мужских и 52% женских имён.

🥸 godnoTECH - Новости IT

Intel теряет одного из своих сопровождающих драйвера USB4 / Thunderbolt для Linux

Самый активный разработчик и сопровождающий USB4/Thunderbolt, Ведсон Алмейда Фильо, объявил о своем уходе из ядра Linux. Это решение было принято после растущего разочарования в процессе разработки и общения внутри сообщества.

В своем электронном письме в список рассылки ядра Linux Ведсон сослался на ряд причин, побудивших его уйти. Он упомянул о «токсичной среде» и «отсутствии уважения», с которыми он столкнулся, а также о том, что он чувствует себя «недооцененным» и «перегоревшим». Он также выразил разочарование в отношении «постоянных конфликтов» и «неконструктивной критики», которые, по его словам, мешали продуктивной работе.

Ведсон был движущей силой в разработке и поддержании поддержки USB4 и Thunderbolt, которые являются ключевыми технологиями для современных компьютерных систем. Его опыт и вклад были неоценимы, и теперь будет сложно найти кого-то, кто сможет полностью заменить его.

К сожалению, в этом году в Intel произошло немало значительных потерь среди инженеров, работающих над Linux. Помимо сокращения персонала по всей компании, особенно заметно ощущается уход талантливых специалистов по Linux и многих их контрибьюторов в open-source, не только в ядре, но и за его пределами.

Linux / Линукс 🥸

Операторы крупных киберскам-центров, столкнувшись с давлением в Юго-Восточной Азии, начали мигрировать в более уязвимые страны. Недавно в одном из отелей в Тимор-Лешти (одна из самых бедных стран мира) обнаружили признаки активности скам-центра, включая кучу SIM-карт и оборудование для спутникового интернета. Похоже, это прямой результат недавних санкций США против фабрик мошенников в Мьянме и Камбодже, которые работали под защитой местных вооруженных группировок и китайских триад.

🥸 godnoTECH - Новости IT

Как поднять веб-сервер на одноразовом вейпе 🚬

Инженер Богдан Ионеску (BogdanTheGe-ek) взял выброшенный одноразовый вейп, препарировал его и превратил в полноценный веб-сервер.

Под капотом у этой соски оказалось довольно скромное железо, чип Cortex M0+ на 24 МГц, 24 КБ флеш-памяти и всего 3 КБ статической RAM. Чтобы подключить эту кроху к интернету он использовал semihosting (по сути, системные вызовы для встраиваемых ARM-процессоров), чтобы пробросить ввод/вывод через отладчик на хост-машину. Затем, с помощью socat и slattach, он приаттачил это дело к SLIP (Serial Line Internet Protocol), превратив чип в аналог 56K-модема.

Для работы с TCP/IP он взял легковесный стек uIP, в комплекте с которым шел минималистичный HTTP-сервер. После некоторых танцев с бубном, связанных с выравниванием памяти для ARM, сервер завелся. Первые тесты были печальными, пинги по 1.5 секунды с 50% потерь пакетов, а страница грузилась 20 секунд. Оказалось, что данные передавались по одному байту. Решение нашлось быстро, нужно просто добавить кольцевой буфер.

После оптимизации результаты порадовали, пинги 20 мс без потерь, а страница грузится за 160 мс. Конечно, под большой нагрузкой он не выживет, но сам факт. Ионеску опубликовал исходный код на GitHub, так что любой желающий может повторить этот эксперимент.

Сайт на сОске тут: ewaste.fka.wtf 🫡

Типичный 🥸 Сисадмин

🤔 GreenOCR 2.0 ускоряет распознавание текста без мощных GPU

Smart Engines показала новую версию своей нейросети GreenOCR 2.0. Она распознаёт текст на 103 языках и работает даже на смартфонах без дискретных видеокарт. Скорость выросла на 20%, а ошибок стало в десять раз меньше по сравнению с предыдущей моделью.

Фокус разработки — эффективность. Вместо «тяжёлой математики» с вещественными числами здесь применяются целочисленные вычисления и комбинация 4,6- и 8-битных сетей. Такой подход экономит ресурсы и позволяет запускать модель на маломощных устройствах.

GreenOCR 2.0 уже встроена в решения Smart Engines для распознавания документов, карт, QR-кодов, номеров телефонов и бухгалтерских бумаг. Компания подчёркивает, что технология работает локально и почти не потребляет энергии, что вписывается в концепцию Green AI.

🥸 godnoTECH - Новости IT

👋 Fourier показала гуманоида GR-3 с эмоциями и памятью

Китайская Fourier Robotics представила нового робота-гуманоида GR-3. Он весит 71 кг, имеет рост 165 см и умеет выполнять повседневные задачи по дому. Главное отличие — эмоциональный интеллект и способность работать в социальных сферах, а не только в промышленности.

Робот оснащён 55 степенями свободы для естественных движений, анимированным лицом и системой мультимодального взаимодействия, объединяющей зрение, слух и осязание. GR-3 способен распознавать лица, поддерживать зрительный контакт, реагировать на прикосновения и имитировать эмоции.

В демонстрационном видео робот помогал куратору музея благодаря эйдетической памяти, позировал студенту-художнику и даже общался на разных языках. Для удобства добавили сменный аккумулятор и режимы движения — от «пружинящей походки» до «усталого шага».

Короче, если раньше роботы поднимали ящики, теперь они могут обсуждать с вами картины и помнить, когда вы завтракаете. Осталось только научить их мыть посуду и не спорить о политике.

🥸 godnoTECH - Новости IT

⚙️ Google меняет схему обновлений безопасности Android

Google ввела систему Risk-Based Update System, которая теперь определяет, какие уязвимости попадут в ежемесячный бюллетень безопасности Android. В него будут включаться только реально опасные баги — те, что уже эксплуатируются или могут стать частью цепочки атак. Остальные дыры компания переносит в квартальные отчёты.

В результате в июле 2025 года в бюллетене не оказалось ни одного исправления, а в сентябре — сразу 119. Это не значит, что за июль дыр не было: производители вроде Samsung и Qualcomm сами отметили несколько CVE в своих обновлениях. Теперь именно OEM решают, выпускать ли патчи каждый месяц или ждать квартального цикла.

Для пользователей разницы почти не будет — смартфоны продолжат получать апдейты. Но для производителей схема проще: им достаточно держать минимум ежеквартальный график и закрывать критические уязвимости сразу.

🥸 godnoTECH - Новости IT

🧑‍🎓 Российские банки проверяют китайские чипы для ИИ вместо Nvidia

«Сбер», «Т-банк» и «Альфа-банк» начали тестировать китайские GPU как альтернативу решениям Nvidia, ушедшей с рынка. В числе рассматриваемых моделей — MetaX C500. Банки надеются использовать их для задач ИИ, но пока речь идёт о проверке производительности и совместимости.

Представители ВТБ заявили о курсе на технологический суверенитет и диверсификацию GPU-кластеров. Эксперты отмечают, что китайские ускорители справляются с типичными банковскими задачами вроде скоринга, антифрода и персонализации сервисов. Но с тяжёлыми сценариями — обучением крупных моделей или обработкой высоких нагрузок — пока лучше справляются решения Nvidia.

Главная сложность — программная экосистема. Большинство ИИ-фреймворков заточены под Nvidia, а переход на альтернативные платформы может потребовать серьёзной доработки ПО. Поэтому банки действуют осторожно, проверяя, где именно новые ускорители реально эффективны.

🥸 godnoTECH - Новости IT

🤨 Sega и полиция изъяли девкиты Nintendo у британского продавца

Великобритания снова в центре игровой драмы. Частный продавец электроники заявил, что полиция по запросу Sega конфисковала у него комплекты разработчика Nintendo — от DSi и GBA до Wii U, а вместе с ними прототипы игр, включая Sonic Chronicles, Mario & Sonic на Олимпиаде и даже неизданный Rhythm Thief.

По словам мужчины, он купил всю партию за £10 тысяч у металлоломщика, получившего вещи из офиса Sega после её переезда. Через месяц у него дома появился десяток полицейских, обыск, изъятие консолей, арест и ночь в камере. В итоге у продавца остались лишь кабели и аксессуары, а консоли ушли «на хранение» в полицию.

История становится ещё мутнее, когда выясняется, что предоставленный ордер оказался с дефектами и упоминал каких-то «частных следователей». Sega на запросы не отвечает, а продавец утверждает, что компания могла просто вернуть или уничтожить утилизированные девкиты. Напомним, такие комплекты всегда остаются собственностью Nintendo и считаются конфиденциальными.

🥸 godnoTECH - Новости IT

😮 Root за 2 минуты на DDR5

Специалисты COMSEC и инженеры Google показали новый вариант Rowhammer под названием Phoenix, который ломает защиту в модулях DDR5 от SK Hynix и получил метку CVE-2025-6202. За меньше чем 2 минуты атакующий может перевернуть биты и получить root на стандартной системе с товарной DDR5.

Phoenix использует пробелы в реализации Target Row Refresh у Hynix, синхронизируясь с тысячами циклов обновления и применяя короткие и длинные шаблоны ударов по строкам памяти. На 15 протестированных DIMM всех серий от января 2021 по декабрь 2024 уязвимость проявлялась — лучший результат показал 128-интервальный паттерн. В реальных сценариях атаке были подвержены page table, 73% модулей допускали утечку RSA-2048 соседней ВМ, а на 33% удалось модифицировать sudo.

Авторы предлагают временное решение — тройное увеличение tREFI, но это увеличивает риск сбоев. Материалы и PoC на GitHub, доклад будет на IEEE Symposium on Security and Privacy.

🥸 godnoTECH - Новости IT

👀 Китай ужесточает правила для киберинцидентов

С 1 ноября в Китае вступают в силу самые жёсткие в мире сроки отчётности по кибератакам. Любая компания или оператор сети должен будет сообщать о серьёзных инцидентах в течение 60 минут, а о «особо крупных» — всего за 30 минут.

Под новые правила попадают фактически все владельцы и администраторы сетевых сервисов. Если скрыть атаку или задержать отчёт, накажут не только компанию, но и конкретных сотрудников. Для самых тяжёлых случаев определены чёткие критерии: утечки более 100 млн записей о гражданах, сбои на правительственных или новостных ресурсах дольше суток или ущерб свыше 100 млн юаней.

Отчёт должен включать список пострадавших систем, хронологию атаки, тип инцидента, характер ущерба, меры по локализации, уязвимости, сумму выкупа (если был шифровальщик) и прогноз последствий. Через месяц придётся сдать итоговый разбор с анализом и назначением ответственных. Для связи предусмотрены горячая линия 12387, сайт, WeChat и почта. Для сравнения — в Европе на уведомление даётся до 72 часов.

🥸 godnoTECH - Новости IT

🛡 OpenAI требует паспорт для ChatGPT

OpenAI ужесточает правила после ряда трагедий, связанных с подростковыми суицидами. Теперь ChatGPT будет пытаться определить возраст собеседника, а при сомнениях сможет запросить документ, подтверждающий, что пользователю больше 18 лет. В компании признают, что это удар по приватности взрослых, но считают компромисс оправданным ради безопасности.

Гендиректор OpenAI Сэм Альтман заявил, что не рассчитывает на единодушное одобрение. Поводом для новых ограничений стали громкие иски: родители подростка в США утверждают, что бот помог ему составить предсмертную записку, а другой мужчина покончил с собой после общения с ИИ. Похожие обвинения выдвигали и против Character AI.

Для несовершеннолетних ChatGPT теперь будет работать по особым правилам — без флирта, обсуждения суицида и селфхарма даже в художественном контексте. Если бот «заметит» опасные мысли, он попробует уведомить родителей, а при реальной угрозе жизни обратиться в экстренные службы.

🥸 godnoTECH - Новости IT

🫡 ИИ впервые выиграл финал ICPC у людей

На чемпионате мира по программированию ICPC абсолютным победителем стала reasoning-система от OpenAI. Модель решила все 12 из 12 задач за 5 часов строго по регламенту. Для сравнения, максимум среди людей в этом году — 11 задач, результат сборной СПбГУ Polar Bear Transform.

ИИ справился с 11 задачами с первой попытки, а последнюю закрыл только с девятой. Все решения были приняты без участия человека. По словам разработчиков, систему не натаскивали специально под ICPC — её тестировали и на других олимпиадах вроде IMO и IOI.

У DeepMind результат чуть скромнее — 10 задач и тоже «золото».

🥸 godnoTECH - Новости IT

☕️ IPv6 в России топчется на месте

Технический директор MSK-IX Александр Ильин заявил, что развитие IPv6 в России застопорилось. Хотя адресов IPv4 в мире становится всё меньше, именно они продолжают доминировать в сетях.

По данным MSK-IX, годовой трафик по IPv4 в России в 53 раза превышает трафик по IPv6. За год объёмы IPv4 выросли на 21,5%, а пиковая нагрузка — на 23%. Ильин отметил, что спрос на IPv6 со стороны операторов и интерес со стороны контент-провайдеров остаются крайне низкими.

Рост трафика в основном связан с увеличением объёмов медиа — видео, музыки и онлайн-игр. Всё больше сервисов и платформ размещают свои ресурсы внутри страны, и это усиливает нагрузку на точки обмена трафиком вроде MSK-IX.

🥸 godnoTECH - Новости IT

👏 Google выпустила локальный поисковик для Windows

Google представила приложение «Google для Windows», которое объединяет поиск по файлам на ПК, Google Drive, установленным приложениям и интернету. Открывается оно сочетанием Alt + Space и выдаёт результаты в стиле фирменной поисковой выдачи.

Программа позволяет искать не только документы и сайты, но и выделять текст на изображениях через Google Lens, переводить его и находить похожие картинки. Есть и AI-фишки — быстрые сводки (AI Overviews) и режим AI Mode для сложных вопросов прямо в строке поиска.

Работает приложение на Windows 10 и новее, но только для обычных аккаунтов Google (Workspace не поддерживается). Сейчас оно доступно через Google Labs, но пока только в США, только на английском и с пометкой «эксперимент».

🥸 godnoTECH - Новости IT

👺 Хакеры ComicForm атакуют через комиксы и стилер FormBook

Аналитики F6 раскрыли фишинговую кампанию группы ComicForm, нацеленной на компании из России, Беларуси и Казахстана. Вредоносные письма выглядели как рабочая переписка с темами «Акт сверки», «Контракт и счет» или «Подтвердить пароль». Вложения маскировались под документы, но запускали цепочку заражения с финальной загрузкой стилера FormBook.

Технически атака строилась из нескольких стадий: обфусцированный загрузчик на .NET запускал библиотеку MechMatrix Pro.dll, та в памяти исполняла Montero.dll, который в итоге внедрял стилер в процесс whoami.exe. Он крал данные пользователей и закреплялся в системе через планировщик задач.

Необычная деталь — в коде вредоносов оказались ссылки на анимированные GIF с супергероями вроде Бэтмана. Сами картинки не использовались в атаке, но стали «визиткой» ComicForm. Эксперты считают, что группа действует с апреля 2025 года и расширяет инфраструктуру.

🥸 godnoTECH - Новости IT

🦣Mamont стал главным Android трояном в России

Специалисты Kaspersky назвали мобильный банковский троян Mamont самой массовой малварью против российских пользователей Android за январь—август 2025. По данным доклада, число спутанных устройств выросло в 36 раз по сравнению с прошлым годом и приближается к одному миллиону поражённых пользователей.

Троян запрашивает доступ к SMS и push уведомлениям и использует их для хищения денег через SMS-банкинг. Распространение идёт через мессенджеры под видом фото или видео с .apk в названии и через поддельные приложения для работы, трекеры заказов и обучающие пакеты. Технически цепочка заражения включает запуск .exe аналогов в Android упаковках и динамическое разворачивание payload на устройстве.

Параллельно растёт активность бэкдора Triada который встречается даже в прошивках поддельных смартфонов и умеет перехватывать коды, подменять номера и удалять сообщения для сокрытия следов.

🥸 godnoTECH - Новости IT

🤓 Нейросетевые фото не пройдут в паспорта

МВД напомнило, что обработанные с помощью нейросетей или фотошопа фото для российских и загранпаспортов — это прямой путь к отказу. Красивое селфи показываем маме, а паспорт должен содержать суровую правду жизни. Госпошлина при отказе не возвращается, так что фильтры красоты могут выйти дороже пластики.

За восемь месяцев 2025 года уже 3,9 тысячи россиян получили отказ по разным причинам, включая неподходящие фото.

🥸 godnoTECH - Новости IT

👋 Windows 11 24H2 снова доступна для обновления

Microsoft убрала блокировку на установку Windows 11 24H2, из-за которой многие пользователи не могли обновить систему. Ограничение действовало почти год и было связано с багами в работе устройств на технологии Dirac Audio.

Речь шла о проблемах с динамиками и наушниками, где звук мог вести себя крайне странно — от искажений до полного отказа работы. Именно поэтому Microsoft в декабре 2024 закрыла доступ к установке 24H2 для уязвимых ПК.

С 11 сентября система больше не мешает ставить 24H2, и пользователи могут без ограничений переходить на свежую версию.

🥸 godnoTECH - Новости IT