Tech
Inicialização segura tornada inútil em centenas de computadores de grandes fornecedores após vazamento de chave • The Register
Segurança da informação em poucas palavras Proteger o BIOS e o processo de inicialização do seu computador é essencial para a segurança moderna – mas saber o quão importante isso é não significa tomar as medidas necessárias para fazê-lo.
Por exemplo, faça uma pesquisa Publicados Na semana passada, especialistas em segurança da Binariamente, empresa especializada em segurança de firmware, realizaram uma pesquisa. E os pesquisadores descobriram favorável PCs vendidos pela Dell, Acer, Fujitsu, Gigabyte, HP, Lenovo e Supermicro – e componentes vendidos pela Intel – usam o que parece ser uma chave de plataforma de teste (PK) de 12 anos vazada em 2022 para proteger sua inicialização segura UEFI implementações.
“Um invasor com acesso à parte privada do PK pode facilmente ignorar a inicialização segura manipulando o banco de dados de chaves do Key Exchange, o banco de dados de assinaturas e o banco de dados de assinaturas bloqueadas”, escreveram especialistas binários.
Isto não significa que os fabricantes que utilizaram a PK ofensiva não tivessem motivos para saber que este produto não era fiável e não se destinava a ser utilizado fora do laboratório: isso estava dito na embalagem.
“Essas chaves de teste têm fortes indicações de que não são confiáveis”, observou Binariamente. Por exemplo, o emissor do certificado contém as strings “DO NOT TRUST” ou “DO NOT SHIP”.
De acordo com a Binaries, mais de dez por cento das imagens de firmware em seu conjunto de dados são vulneráveis a uma exploração usando PK não confiável – que foi lançado pela American Megatrends International, possivelmente já em maio de 2012. Os pesquisadores observam que isso torna este problema “um dos os “Os problemas mais longos que duram anos.” [supply chain vulnerabilities] “Da espécie dele.”
Se um invasor explorar a chave de energia em um ataque, ele poderá executar código não confiável durante o processo de inicialização, mesmo com a inicialização segura habilitada.
“Isso coloca em risco toda a cadeia de segurança, desde o firmware até o sistema operacional”, acrescentou Pinarelli.
A empresa lançou Binariamente Ferramenta de digitalização gratuita Para verificar os sistemas em busca de vulnerabilidades do chamado “PKFail”. Ativá-lo parece um curso de ação razoável. Quanto à resolução deste problema, os fabricantes de dispositivos terão de intensificar os seus esforços.
Fraquezas Críticas da Semana: Que o KEV é como velho?
Esta semana começamos com um novo relatório sobre uma vulnerabilidade muito antiga que está sendo explorada à solta.
De acordo com o Instituto Nacional de Padrões e Tecnologia, uma vulnerabilidade de uso após livre nas versões 6 a 8 do Internet Explorer que permite que invasores remotos executem código arbitrário – descoberta e identificada pela primeira vez em 2012 – é Ainda está sendo explorado hoje.
Se, por algum motivo, você ainda tem um computador rodando o IE 6 a 8, talvez seja hora de se livrar dele?
Também vale a pena observar um conjunto de vulnerabilidades identificadas no sistema DNS Berkeley Internet Name Domain 9 que foi identificado na semana passada pelo Internet Systems Consortium (CVE-2024-4076, CVE-2024-1975, CVE-2024-1737, CVE-2024-0760).
Se essas falhas forem exploradas, poderão resultar em negação de serviço. Embora não seja tão grave quanto outras vulnerabilidades, o fato de existir no nível DNS faz com que valha a pena instalar esses patches o mais rápido possível.
Outro fornecedor de stalkerware foi hackeado
Parece que mal podemos passar duas semanas sem que outro fornecedor de malware seja hackeado, mas aqui estamos. Foi o TechCrunch paz Um conjunto de arquivos roubados da SpyTech com sede em Minnesota na semana passada.
Os arquivos – cuja autenticidade foi verificada – foram instalados em celulares, tablets e computadores monitorados pela SpyTech, que monitora secretamente os dispositivos para espionar o que seus usuários estão fazendo. Foram encontrados dados de mais de 10.000 dispositivos desde 2013.
Curiosamente, o CEO da SpyTech não sabia do hack quando questionado sobre ele – o que indica que essas lojas se preocupam mais em ganhar dinheiro do que em proteger os dados privados que coletam em nome dos clientes.
…e ative o MFA enquanto você faz isso
Pesquisadores de segurança da Cisco Talos divulgaram seu relatório Relatório trimestral Na última semana, vimos tendências de resposta a incidentes e surgiu uma tendência surpreendente: quase 80% dos incidentes de ransomware no segundo trimestre deste ano ocorreram em organizações cujos sistemas não usam autenticação multifator.
E aqui pensamos que Snowflake poderia ter ensinado algo ao mundo.
Talos observou que credenciais comprometidas eram a forma mais comum de obter acesso inicial pelo terceiro trimestre consecutivo – exatamente como o que causou todas as falhas do Snowflake.
Os incidentes gerais de ransomware aumentaram 22% do primeiro ao segundo trimestre, representando 30% de todos os incidentes aos quais o Talos respondeu. Combinado com o aumento de ataques usando credenciais roubadas e a falta de autenticação de dois fatores, pode ser uma boa ideia passar algum tempo esta semana habilitando-a para todos – sem exceções.
TracFone multada em US$ 16 milhões por três violações
A subsidiária da Verizon, TracFone, concordou em pagar US$ 16 milhões à Comissão Federal de Comunicações para encerrar as investigações sobre três violações de dados que a empresa sofreu entre 2021 e 2023.
De acordo com a FCC, a TracFone não conseguiu proteger várias APIs para seus bancos de dados de clientes, o que levou os criminosos a roubar informações de contas e dispositivos dos clientes, bem como informações de identificação pessoal. Essas violações levaram a “numerosas transferências não autorizadas”.
Não deve ser confundido com trocas de SIM – outro golpe que a maioria das operadoras não consegue evitar – a portabilidade de número envolve a transferência de um número para uma operadora completamente diferente. Ambos dão aos invasores controle sobre os dispositivos clientes.
A TracFone foi ordenada a implementar programas obrigatórios de segurança cibernética “com novas disposições para reduzir as vulnerabilidades da interface de programação de aplicativos (API)”, bem como troca de SIM e proteção de porta de saída. ®
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
watchOS 11 já está disponível para usuários do Apple Watch. É a atualização mais recente do software do relógio e apresenta uma variedade de aplicativos, mostradores de relógio totalmente novos, recursos poderosos de saúde e condicionamento físico e muito mais. Aqui estão as novidades.
Instalação e dispositivos compatíveis
Você pode instalar o watchOS 11 abrindo o aplicativo Watch no seu iPhone e indo para Geral ⇾ Atualização de software. Observação: watchOS 11 requer que seu iPhone execute iOS 18 e tenha um relógio compatível.
Abaixo estão os modelos de Apple Watch que suportam a atualização:
- Apple Watch Série 6 e posterior
- Apple Watch Ultra 1 ou 2
- Apple Watch SE (2ª geração)
Se o modelo do seu dispositivo for mais antigo que o modelo listado acima, você precisará de um novo dispositivo antes de instalar o watchOS 11.
Novos recursos no watchOS 11
watchOS 11 tem um grande foco em atualizações de saúde e condicionamento físico. Mas mesmo que essas partes do Apple Watch não sejam importantes para você, a Apple ainda traz ótimas melhorias no sistema.
Dias de descanso e metas de atividade
Podemos conseguir finalmenteAgora você pode tirar um dia de folga para fechar seus ciclos – sem perder uma sequência de sucesso. watchOS 11 oferece a opção de tirar dias de folga para férias, doença, etc., sem ser penalizado por isso.
Agora você também pode definir metas de episódios personalizadas para diferentes dias da semana. Por exemplo, se você tende a se exercitar intensamente no sábado e depois usa o domingo para recarregar as energias, pode definir metas diferentes para cada dia.
Atividades ao vivo e pilha inteligente
No ano passado, a Apple fez uma grande mudança com o watchOS 10 ao apresentar o widget Smart Stack. Ao deslizar com a Coroa Digital, você verá uma variedade de widgets com informações que você pode ver.
No watchOS 11, as atividades ao vivo agora são suportadas e aparecem com mais destaque no Smart Stack atualizado. Assim, quando você ligar para um Uber, pedir comida no Starbucks ou acompanhar o placar de um jogo esportivo, essas atividades ao vivo serão exibidas no topo do Smart Stack. Da mesma forma, os elementos sugeridos da IU agora aparecerão em diversas condições. Isso inclui quando você está ouvindo música ou podcasts, quando há um cronômetro, quando há previsão de chuva e muito mais.
Mostradores de relógio novos e atualizados
Existem dois novos mostradores de relógio no watchOS 11: Reflections e Flux. Eles foram apresentados durante a apresentação do Apple Watch Series 10 na semana passada. Mas eles também chegarão aos modelos mais antigos do Watch.
A interface de fotos existente foi bastante aprimorada no watchOS 11. Agora você pode selecionar diferentes categorias de fotos para navegar no mostrador do relógio, semelhante ao recurso iOS para papéis de parede. Escolha entre Pessoas, Animais de estimação, Natureza, Cidades ou outra combinação. Você também pode atualizar seu rosto com tamanhos personalizados e novos layouts.
Tudo novo no watchOS 11
watchOS 11 inclui muitos recursos, incluindo muitos aplicativos novos para você aproveitar. Aqui está um resumo de outros novos recursos importantes:
- Aplicativo Vitals para informações sobre o sono
- Aplicativo de marés para exibir dados da costa
- Baixe o treinamento para acompanhar seu progresso ao longo do tempo
- Traduzir o aplicativo
- Detecção de apneia do sono em modelos compatíveis
- Recurso de login seguro
- Melhorar o suporte à gravidez
- Toque duas vezes para percorrer qualquer aplicativo
- Suporte de banda ultralarga para switch doméstico
- Pague pressionando o botão de dinheiro
- Recursos aprimorados de emissão de ingressos na Wallet
Resumo do watchOS 11
watchOS 11, junto com novos Apple Watch Série 10Este ano é um ano forte para o Apple Watch. A introdução de novos aplicativos, mostradores de relógio, um Smart Stack mais versátil e melhorias de saúde e condicionamento físico tornam esta atualização atraente.
Com quais recursos do watchOS 11 você está mais animado? Conte-nos nos comentários.
Melhores acessórios Apple Watch
FTC: Usamos links de afiliados para obter renda automática. mais.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
A empresa agora vende serviços e recebe uma porcentagem dos serviços prestados por outras empresas de desenvolvimento que vendem seus aplicativos na Apple Store. A Apple afirma garantir a segurança e funcionalidade desses aplicativos; Alguns desenvolvedores chamam essas taxas de “imposto Apple” injusto e querem que os reguladores e os tribunais as limitem.
A União Europeia é um dos vários órgãos que examinaram como a Apple estabelece regras para desenvolvedores de aplicativos que vendem em sua plataforma. Mas avançou ainda mais na criminalização de algumas práticas através do DMA.
A Apple fez forte lobby, mas sem sucesso, contra uma cláusula DMA que proíbe o sideload, a prática de adicionar uma nova loja de aplicativos a um dispositivo para permitir que os clientes instalem software não encontrado na Apple Store. Alegou que isso tornaria os iPhones menos seguros, tornando mais fácil para os cibercriminosos inserirem seu software nos telefones.
Sob pressão
No entanto, a empresa mudou para cumprir as novas regras da UE. Ela elaborou um plano de conformidade no início deste ano e respondeu às críticas em março, esclarecendo que os seus engenheiros foram “essencialmente forçados a confiar numa tela em branco” ao estabelecer novas condições de trabalho.
Desde então, as constantes críticas dos desenvolvedores de que a Apple poderia não ter ido além levaram a empresa a fazer diversas mudanças. Modificações De acordo com seus termos e condições nos últimos meses.
“Eles estão definitivamente sob pressão, caso contrário não teriam feito estas mudanças”, disse Francisco Geronimo, vice-presidente de dispositivos para a Europa, Médio Oriente e África do grupo de investigação de mercado IDC.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
Tech
Kuo: A demanda pelo iPhone 16 Pro é menor do que o esperado e as pré-encomendas do iPhone 16 Plus aumentam 48%
De acordo com novo Análise de pré-encomenda De acordo com Ming-Chi Kuo, a Apple está enfrentando uma demanda menor pelo iPhone 16 Pro e iPhone 16 Pro Max do que o esperado. No entanto, o iPhone 16 e o iPhone 16 Plus alcançaram vendas maiores em comparação com os iPhones do ano passado.
Kuo fez Algumas análises No fim de semana, com base nos prazos de entrega no site da Apple, bem como em uma Pesquisa da Cadeia de Suprimentos. Com base no primeiro fim de semana de pré-encomendas, Kuo descobriu o seguinte:
- O preço do iPhone 16 Pro Max diminuiu 16% em relação ao ano passado
- iPhone 16 Pro diminuiu 27% em relação ao ano passado
- iPhone 16 Plus aumenta 48% em relação ao ano passado
- iPhone 16 aumenta 10% em relação ao ano passado
Curiosamente, as pessoas estão demonstrando muito mais interesse nos iPhones normais do que nos profissionais este ano, especialmente no modelo maior.
No geral, a linha do iPhone 16 como um todo vendeu cerca de 37 milhões de unidades, uma queda de cerca de 12,7% em relação à linha do iPhone 15 em seu primeiro fim de semana. Apesar do tremendo crescimento do iPhone 16 Plus, o declínio na demanda pelo iPhone 16 Pro é muito mais do que isso.
Kuo mencionou que os retornos mais elevados da câmera de prisma quádruplo (telefoto 5x) são um fator importante para a Apple obter mais exposição para o iPhone 16 Pro Max do que no ano passado para o iPhone 15 Pro Max. De acordo com os números de Kuo, a Apple produziu 6 milhões de unidades do iPhone 16 Pro Max antes do lançamento, 106% a mais do que no ano passado.
O analista também diz acreditar que a Apple pode implementar estratégias mais agressivas de produtos iPhone em 2025 para estimular a demanda do mercado, se a Apple Intelligence e outras promoções tiverem um impacto limitado nas remessas do iPhone 16.
O iPhone 16 te interessou o suficiente para renová-lo? Conte-nos nos comentários.
Miguel continuou: x/Twitter, Tópicos
FTC: Usamos links de afiliados para obter renda automática. mais.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
-
Economy3 anos agoO bitcoin pode chegar a US $ 37.000, mas o trader afirma que o preço do bitcoin será maior ‘Um número que você não consegue entender’
-
sport3 anos ago
Os Nets estão tentando adquirir Kevin Love dos Cavaliers, Isaiah Hartenstein
-
Tech2 anos ago
Mike Frasini, presidente da Amazon Games, deixa o cargo
-
science2 anos ago
Rússia ameaça sequestrar o telescópio espacial alemão
-
science3 anos ago
Astrofísicos podem ter encontrado um buraco negro de massa intermediária na galáxia de Andrômeda
-
science2 anos ago
Finalmente sabemos como a lagarta do pesadelo cria presas de metal
-
Tech8 meses ago
ZOTAC confirma que quatro dos nove modelos Geforce RTX 40 SUPER terão preço MSRP
-
sport1 ano ago
USMNT empata com a Jamaica na primeira partida da Copa Ouro da CONCACAF: o que isso significa para os Estados Unidos
