Новости кибербезопасности за неделю со 2 по 8 июня 2025

Всё самое интересное из мира кибербезопасности /** с моими комментариями

1) Скоро ^[1] в WhatsApp появится функция, которую пользователи ждали годами: возможность создавать уникальные никнеймы вместо того, чтобы светить своим мобильным номером.

Новая система идентификации позволит общаться, не раскрывая свой мобильный ни на старте, ни в процессе диалога.

Нововведение ориентировано в первую очередь на приватность. Теперь, если кто-то начнёт разговор без предварительного обмена контактами, он увидит только ваш псевдоним, но не номер. Это серьёзно затруднит навязчивым собеседникам и мошенникам доступ к личной информации и каналам связи.

/** Ну что ж, ждём и для Андройда. Вообще, хорошо, что постепенно WhatsApp пытается догонять другие мессенджеры в т. ч. и в безопасности.

2) GigaChat будет интегрирован с операционной системой Astra Linux.

На конференции «Цифровая индустрия промышленной России» (ЦИПР) в Нижнем Новгороде Сбер и «Группа Астра» заключили меморандум ^[2] о стратегическом сотрудничестве в сфере развития технологий искусственного интеллекта ^[3].

Ключевое направление сотрудничества — интеграция нейросетевой модели Сбера GigaChat для операционной системы Astra Linux. Это позволит разработать умных помощников, улучшить пользовательский опыт ^[4] и расширить функциональность отечественного программного обеспечения для граждан и бизнеса в единой доверенной среде на базе российских операционной системы и нейросети.

/** У меня эта новость прошла все стадии принятия, только первой стадией был не гнев, а ирония. Ну неожиданно как-то, не привычно что ли. В целом, подобные партнёрства очень нужны. Мы, как страна, можем себе позволить какое угодно отставание от СШИ и Китая по UXUI, но вот по искусственному интеллекту и его использованию существенного отставания допустить нельзя!

3) На пленарной сессии той же конференции ЦИПР премьер-министр РФ Михаил Мишустин заявил ^[5], что российские IT-решения, которые созданы с нуля и не зависят от международных продуктов в открытом доступе, должны получить приоритет при государственных закупках.

Он подчеркнул, что при включении в реестр российского программного обеспечения должны отдельно маркироваться так называемые нативные приложения и решения, которые разработаны с нуля и не зависят ни от чего. «Я имею в виду, от международных продуктов, которые в том числе находятся в открытом доступе», — уточнил глава правительства. Такие решения, по его словам, должны быть приоритетными при госзакупках.

/** А вот эта новость как была на стадии иронии, так на ней и осталась ) Ну как это комментировать? Тогда и языки разработки надо тоже учитывать, чтобы они были “с какого-то нуля” отечественными… А то, что поддержка и развитие подобного ПО будет на порядки дороже, чем того, которое построено с использованием Open Source и, что самое главное – безопасность подобного ПО будет никакая? Ну да ладно. Я уверен, что слова Мишустина вырвали из контекста. Он очень умный и продвинутый с т. з. ИТ.

4) Минцифры поддержало идею установки на новые компьютеры и ноутбуки российской ОС: Astra Linux, «Альт» или Red OS.

Сначала российские ОС хотят ставить в довесок к Винде, но потом они могут вытеснить зарубежное ПО полностью, как потребовал Путин.

/** Какой хитрый план… Ведь сразу решается две проблемы: импортозамещение и демография. Представляете насколько чаще начнёт звучать “ты можешь приехать и поставить мне винду?” после того, как эта инициатива реализуется? Гениально.

5) Вышел ^[6] первый релиз нового проекта OWASP по уязвимостям бизнесс логики.

Топ построен путем анализа уязвимостей 2023-2025 большой языковой моделью.

/** Собственно вот ТОП:

Всё, что выпускает OWASP надо самым внимательным образом изучать.

6) Meta* и Yandex использовали ^[7] скрытую технологию отслеживания, связывающую действия пользователей в браузере с их аккаунтами в Android-приложениях.

Нативные приложения Facebook*, Instagram* и несколько приложений Яндекса (включая Карты и Браузер) прослушивали фиксированные порты localhost на устройствах Android для получения данных из веб-скриптов, встроенных на миллионы сайтов.

Эти JavaScript-скрипты — Meta* Pixel и Яндекс.Метрика — запускаются в мобильном браузере и устанавливают соединение с приложениями через сокеты localhost. Через них передаются метаданные, cookie и команды, включая идентификаторы устройств, такие как Android Advertising ID (AAID).

Это позволяет деанонимизировать пользователей, связывая их поведение ^[8] в браузере с учётными записями.

/** Ужасно конечно. Как написано в самой статье, после её выхода и бурной реакции ^[9] общественности уже 3 июня, и Meta* и Яндекс исправили свои скрипты и больше не занимаются подобным. К слову, эта практика у Яндекса работала аж с 2017 года.

Стоит констатировать факт – крупные компании (телеком, банки, интернет-платформы) знают о нас если не всё, то очень много. И будет очень хорошо, если все ограничится только таргетированием рекламы.

* Компания Meta (соцсети Facebook и Instagram) признана экстремистской и её деятельность запрещена в РФ.

7) Критическая дыра ^[10] в Auth0 PHP SDK: достаточно куки, чтобы взломать сайт.

Если вы используете Auth0 PHP SDK для авторизации пользователей через соцсети или корпоративные учётки — стоит срочно проверить версию. Исследователи сообщили о критической уязвимости, которая позволяет атакующему выполнить произвольный код на сервере, просто отправив cookies. Уязвимость получила идентификатор CVE-2025-48951 и очень высокий балл по шкале CVSS — 9.3.

Вы под угрозой, если используете auth0/auth0-php версии от 8.0.0-BETA3 до 8.3.0 или сторонние обёртки на его базе:

• auth0/symfony

• auth0/laravel-auth0

• auth0/wordpress

/** Обновляйтесь. Все патчи уже вышли.

8) Microsoft представляет ^[11] бесплатную программу кибербезопасности ЕС для правительств.

Microsoft объявила о новой Европейской программе безопасности, которая обещает укрепить кибербезопасность европейских правительств.

Программа расширяет существующую Программу правительственной безопасности Microsoft, которая бесплатна для всех стран Европейского союза, включая государства-кандидаты, членов Европейской ассоциации ^[12] свободной торговли (ЕАСТ), Великобританию, Монако и Ватикан.

Технологический гигант отметил, что программа в первую очередь направлена ​​на предотвращение атак со стороны поддерживаемых государством субъектов в России, Иране, Китае и Северной Корее, которые активизировали свои операции против ЕС.

/** Вспомнился мем:

Я читал эту новость и улыбка иронии не сходила с моего лица. Какие же Microsoft (американцы) заботливые. Всё бесплатно и сразу для всех европейских правительств! Чудо, просто чудо от создателей всего самого технологичного шпионского ПО в мире! Европа, соглашайся сразу, что тут думать?

Безопасной вам недели!

Подписывайтесь на мой Телеграм ^[13]!

Предыдущая неделя ^[14] <– week Sec News