🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
É idiota lá fora de novo.
Esta semana tem o cheiro habitual de produtos pegando fogo e ninguém quer admitir quem deixou a porta aberta – credenciais antigas ainda funcionando, aplicativos confiáveis fazendo porcarias incompletas, truques de navegador pulando a cerca e fluxos de trabalho “normais” se transformando em canais de phishing porque aparentemente o e-mail já não era um inferno suficiente.
A pior parte é como algumas coisas parecem baratas. Não é elite. Não cinematográfico. Apenas segredos obsoletos, atualizações falsas, confiança preguiçosa e caixas aleatórias tornando-se silenciosamente a infraestrutura de outra pessoa. A mesma internet, nova dor de cabeça. Vamos entrar no assunto.
Defesa de bot que prioriza a privacidade
Cloudflare faz parceria com criadores de navegadores para PACT
A Cloudflare se uniu ao Google Chrome, Microsoft Edge e Mozilla Firefox para criar um protocolo de preservação de privacidade que os sites podem usar para separar o tráfego desejável da web de solicitações de rede indesejáveis. Isso envolve o uso de Tokens de Controle de Acesso Privado (PACT), que permitem que sites emitam tokens anônimos que afirmam que uma determinada sessão de navegação está sendo executada por um ser humano. “O navegador de um usuário pode então fornecer esses tokens a outros sites para provar que um humano está no circuito, reduzindo a necessidade de captchas irritantes e desajeitados ou rastreamento invasivo”, disse Cloudflare. “O PACT foi projetado para que os sites não possam aproveitá-lo para rastrear ou identificar usuários ou seu histórico de navegação.”
CVEs de seis cachos
Múltiplas falhas no curl
AISLE disse que descobriu seis vulnerabilidades no curl, que variam de “problemas clássicos de vida útil da memória a bugs lógicos em como o libcurl decide se uma conexão, credencial ou identidade de host ainda é válida”. Uma das vulnerabilidades notáveis é a CVE-2026-8932, que permite à biblioteca “reutilizar uma conexão criada anteriormente, mesmo quando alguma opção relacionada à configuração do mTLS foi alterada e deveria ter proibido a reutilização”. AISLE a descreveu como a vulnerabilidade curl mais antiga relatada até agora, acrescentando que ela foi lançada em lançamentos desde a versão 7.7 do curl, lançada em 22 de março de 2001. As falhas identificadas foram corrigidas na versão 8.21.0.
Aquisição não autenticada
Bug de gravidade máxima na amarelinha
Uma falha crítica de segurança foi divulgada em versões auto-hospedadas do Hoppscotch (CVE-2026-50160, pontuação CVSS: 10.0), uma plataforma API de código aberto, que pode resultar em comprometimento total. O agente autônomo de segurança de IA da Offgrid Security, Kiro, foi responsável pela descoberta do bug. “O endpoint POST /v1/onboarding/config permite que um invasor não autenticado injete chaves InfraConfig arbitrárias – incluindo JWT_SECRET e SESSION_SECRET – no banco de dados por meio de atribuição em massa”, disseram os mantenedores do projeto. "Essas chaves não são declaradas no DTO SaveOnboardingConfigRequest, mas como o NestJS ValidationPipe não remove propriedades extras, elas passam para a camada de serviço, onde Object.entries(dto) itera todas as chaves sem restrição." Uma exploração bem-sucedida leva ao comprometimento total do servidor e ao acesso persistente que sobrevive às redefinições de senha. A OffGrid Security disse ao The Hacker News que quatro pontos fracos independentes são combinados para permitir que um invasor não autenticado substitua a chave de assinatura JWT em uma única solicitação HTTP, e a exploração não requer credenciais. O problema foi corrigido na versão 2026.5.0 do hoppscotch-backend.
Proxyware em TVs inteligentes
SDKs de proxy residencial ocultos em aplicativos de Smart TV LG e Samsung
Um novo relatório da Spur Intelligence revelou que mais de um terço dos aplicativos de smart TV LG e Samsung analisados contêm proxyware que pode retransmitir tráfego de terceiros através da conexão de Internet do proprietário da TV com o consentimento dos usuários. A empresa disse que digitalizou 6.038 aplicativos no LG webOS e Samsung Tizen e encontrou 2.058 que contêm software proxy residencial. Isso inclui relógios, protetores de tela, jogos, aquários e outros aplicativos de baixa utilidade. No LG webOS, 42,5% dos aplicativos carregavam esse código. No Samsung Tizen, a taxa foi de 26,9%. Nas duas plataformas, atingiu 34,1%. Bright Data, Massive e Oxylabs ocupam os três principais fornecedores de SDK para webOS e Tizen. “As Smart TVs são hosts proxy quase ideais. Elas ficam na mesma rede doméstica que todo o resto, mas não parecem computadores, então as pessoas raramente as auditam como computadores”, disse Spur. “Não há consumo de bateria digno de nota, nenhuma conta de celular que aumente, nenhum alternador de aplicativos cheio de atividades suspeitas em segundo plano. Uma TV pode permanecer conectada, conectada e on-line por anos enquanto o usuário pensa nela como um móvel”. A empresa de inteligência de ameaças disse que esta dinâmica também muda a equação do consentimento, já que os usuários podem não perceber o que realmente significa vender acesso ao seu endereço IP residencial. “Tecnicamente, esses aplicativos são compatíveis com a obtenção de consentimento com base em como informam o usuário”, disse Alastair Parr, CTO da Spur, ao The Hacker News. "No entanto, há
Esta semana tem o cheiro habitual de produtos pegando fogo e ninguém quer admitir quem deixou a porta aberta – credenciais antigas ainda funcionando, aplicativos confiáveis fazendo porcarias incompletas, truques de navegador pulando a cerca e fluxos de trabalho “normais” se transformando em canais de phishing porque aparentemente o e-mail já não era um inferno suficiente.
A pior parte é como algumas coisas parecem baratas. Não é elite. Não cinematográfico. Apenas segredos obsoletos, atualizações falsas, confiança preguiçosa e caixas aleatórias tornando-se silenciosamente a infraestrutura de outra pessoa. A mesma internet, nova dor de cabeça. Vamos entrar no assunto.
Defesa de bot que prioriza a privacidade
Cloudflare faz parceria com criadores de navegadores para PACT
A Cloudflare se uniu ao Google Chrome, Microsoft Edge e Mozilla Firefox para criar um protocolo de preservação de privacidade que os sites podem usar para separar o tráfego desejável da web de solicitações de rede indesejáveis. Isso envolve o uso de Tokens de Controle de Acesso Privado (PACT), que permitem que sites emitam tokens anônimos que afirmam que uma determinada sessão de navegação está sendo executada por um ser humano. “O navegador de um usuário pode então fornecer esses tokens a outros sites para provar que um humano está no circuito, reduzindo a necessidade de captchas irritantes e desajeitados ou rastreamento invasivo”, disse Cloudflare. “O PACT foi projetado para que os sites não possam aproveitá-lo para rastrear ou identificar usuários ou seu histórico de navegação.”
CVEs de seis cachos
Múltiplas falhas no curl
AISLE disse que descobriu seis vulnerabilidades no curl, que variam de “problemas clássicos de vida útil da memória a bugs lógicos em como o libcurl decide se uma conexão, credencial ou identidade de host ainda é válida”. Uma das vulnerabilidades notáveis é a CVE-2026-8932, que permite à biblioteca “reutilizar uma conexão criada anteriormente, mesmo quando alguma opção relacionada à configuração do mTLS foi alterada e deveria ter proibido a reutilização”. AISLE a descreveu como a vulnerabilidade curl mais antiga relatada até agora, acrescentando que ela foi lançada em lançamentos desde a versão 7.7 do curl, lançada em 22 de março de 2001. As falhas identificadas foram corrigidas na versão 8.21.0.
Aquisição não autenticada
Bug de gravidade máxima na amarelinha
Uma falha crítica de segurança foi divulgada em versões auto-hospedadas do Hoppscotch (CVE-2026-50160, pontuação CVSS: 10.0), uma plataforma API de código aberto, que pode resultar em comprometimento total. O agente autônomo de segurança de IA da Offgrid Security, Kiro, foi responsável pela descoberta do bug. “O endpoint POST /v1/onboarding/config permite que um invasor não autenticado injete chaves InfraConfig arbitrárias – incluindo JWT_SECRET e SESSION_SECRET – no banco de dados por meio de atribuição em massa”, disseram os mantenedores do projeto. "Essas chaves não são declaradas no DTO SaveOnboardingConfigRequest, mas como o NestJS ValidationPipe não remove propriedades extras, elas passam para a camada de serviço, onde Object.entries(dto) itera todas as chaves sem restrição." Uma exploração bem-sucedida leva ao comprometimento total do servidor e ao acesso persistente que sobrevive às redefinições de senha. A OffGrid Security disse ao The Hacker News que quatro pontos fracos independentes são combinados para permitir que um invasor não autenticado substitua a chave de assinatura JWT em uma única solicitação HTTP, e a exploração não requer credenciais. O problema foi corrigido na versão 2026.5.0 do hoppscotch-backend.
Proxyware em TVs inteligentes
SDKs de proxy residencial ocultos em aplicativos de Smart TV LG e Samsung
Um novo relatório da Spur Intelligence revelou que mais de um terço dos aplicativos de smart TV LG e Samsung analisados contêm proxyware que pode retransmitir tráfego de terceiros através da conexão de Internet do proprietário da TV com o consentimento dos usuários. A empresa disse que digitalizou 6.038 aplicativos no LG webOS e Samsung Tizen e encontrou 2.058 que contêm software proxy residencial. Isso inclui relógios, protetores de tela, jogos, aquários e outros aplicativos de baixa utilidade. No LG webOS, 42,5% dos aplicativos carregavam esse código. No Samsung Tizen, a taxa foi de 26,9%. Nas duas plataformas, atingiu 34,1%. Bright Data, Massive e Oxylabs ocupam os três principais fornecedores de SDK para webOS e Tizen. “As Smart TVs são hosts proxy quase ideais. Elas ficam na mesma rede doméstica que todo o resto, mas não parecem computadores, então as pessoas raramente as auditam como computadores”, disse Spur. “Não há consumo de bateria digno de nota, nenhuma conta de celular que aumente, nenhum alternador de aplicativos cheio de atividades suspeitas em segundo plano. Uma TV pode permanecer conectada, conectada e on-line por anos enquanto o usuário pensa nela como um móvel”. A empresa de inteligência de ameaças disse que esta dinâmica também muda a equação do consentimento, já que os usuários podem não perceber o que realmente significa vender acesso ao seu endereço IP residencial. “Tecnicamente, esses aplicativos são compatíveis com a obtenção de consentimento com base em como informam o usuário”, disse Alastair Parr, CTO da Spur, ao The Hacker News. "No entanto, há
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #boletim #threatsday: #smart #tv #proxyware, #bug #curl #de #24 #anos, #fóruns #de #crimes #de #ia #e #mais #13 #histórias
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário