🎣 PFisher's Catch #5
W tym tygodniu Paul Moore ogłosił na Reddicie, że “zhakował” unijną apkę do weryfikacji wieku w dwie minuty. Trzy tysiące upvote’ów, media skopiowały nagłówek, internet się oburzył. Problem? Wziął demo app z disclaimerem “not production software”, zrootował telefon, wyedytował plik konfiguracyjny i ogłosił sukces.
Nie żeby ta apka nie miała problemów — ma, i to poważnych. Ale zupełnie innych niż te, o których krzyczał Reddit. I to jest chyba najlepsza metafora tego tygodnia: prawdziwe zagrożenia siedzą głęboko w architekturze, a my ekscytujemy się pokazówką.
Piąte wydanie PFisher’s Catch — 10 historii, od rosyjskiego GRU po sygnalizatory dla pieszych z hasłem “1234”.
Opublikowałem w tym tygodniu
Apka EU do weryfikacji wieku nie została zhakowana — ale prawdziwe problemy są dużo gorsze
Paul Moore wziął reference implementation (z disclaimerem “not production software” na GitHubie), zrootował telefon, wyedytował shared_prefs i ogłosił sukces. Na niezrootowanym urządzeniu shared_prefs jest sandboxowany, vault z tożsamością szyfrowany kluczami sprzętowymi.
Prawdziwe problemy EUDI Wallet to architektura: SD-JWT strukturalnie nie wspiera unlinkability — potwierdzają kryptografowie w Issue #193 i Discussion #211 na GitHubie ARF. Tokeny są linkable między serwisami, a rząd-wydawca zna zarówno token jak i tożsamość. Rozwiązanie istnieje — protokół BBS# od Orange Innovation daje “Unconditional/Everlasting Privacy” i działa na istniejących smartfonach (~70ms), ale Komisja od pierwszej wersji ARF narzuciła SD-JWT “in a way that was not transparent at all” (cytat autorów BBS#). Do tego device attestation (Play Integrity / Apple Attestation) oddaje kontrolę nad europejską tożsamością dwóm amerykańskim firmom.
Tryb Incognito w Perplexity to ściema — pozew ujawnia tracking do Mety i Google
140-stronicowy pozew zbiorowy (Doe v. Perplexity AI, N.D. Cal.) ujawnia, że Perplexity od grudnia 2022 udostępniało transkrypty rozmów użytkowników Mecie i Google przez Meta Pixel, Google Ads, DoubleClick i Firebase Analytics. Tryb Incognito nie blokował trackingu — jedynie ukrywał historię przed użytkownikiem. Prompty, maile i Facebook c_user cookie leciały dalej.
Najciekawszy element techniczny: Conversions API (CAPI) — server-side workaround od Mety, którego nie da się zablokować adblockerem. Class action obejmuje miliony użytkowników, 8 zarzutów prawnych, potencjalne kary $5000+ za naruszenie.
Ktoś kupił 30 wtyczek WordPressa i wrzucił backdoora do każdej
Supply chain attack na WordPress w czystej postaci. Ktoś kupił 30+ wtyczek Essential Plugin na Flippie za sześć cyfr — Flippa nawet opublikowała case study o transakcji jako sukces. Pierwszy commit nowego właściciela to backdoor ukryty za fałszywym changelogiem o kompatybilności z WP 6.8.2.
Przez osiem miesięcy kod siedział uśpiony, aż w kwietniu 2026 odpalił się i wstrzyknął SEO spam do wp-config.php — widoczny tylko dla Googlebota, niewidoczny dla admina. Technicznie najciekawsze: domena C2 rozwiązywana przez smart contract na Ethereum, więc klasyczny takedown domeny nie działa. WordPress.org zamknął 25+ wtyczek jednego dnia, ale nie ma żadnego mechanizmu weryfikacji zmiany właściciela pluginu — ten sam playbook zadziałał już w 2017 i nic się nie zmieniło.
Rosja: trzy fronty jednej wojny
Trzy pozornie osobne historie, które razem rysują pełny obraz rosyjskich operacji cyber w kwietniu 2026.
GRU włamało się do 284 skrzynek NATO i Ukrainy — wpadli bo zostawili otwarty serwer
Reuters ujawnia skalę kampanii GRU (Fancy Bear/APT28) — 284 skrzynek mailowych skompromitowanych od września 2024 do marca 2026, odkrytych przypadkiem bo hakerzy “zostawili otwarte drzwi frontowe”. Brytyjsko-amerykański kolektyw Ctrl-Alt-Intel znalazł na niezabezpieczonym serwerze logi operacyjne i tysiące skradzionych maili.
Ofiary: 67 kont Rumuńskich Sił Powietrznych (w tym bazy NATO i wysoki rangą oficer), 27 skrzynek Sztabu Generalnego Grecji, akademicy i wojskowi z Serbii, urzędnicy z Płowdiwu w Bułgarii. Na Ukrainie złamali Specjalizowaną Prokuraturę Obronną, szefową ARMA i 44 pracowników Centrum Szkolenia Prokuratorów.
Cytat tygodnia: “Domniemana bliska relacja z Moskwą nie jest gwarancją ochrony przed rosyjskim szpiegostwem” (Chatham House) — w odniesieniu do Serbii na liście ofiar.
Źródło: Reuters via Universul.net →
FBI i 16 agencji z 15 krajów rozbijają infrastrukturę GRU na routerach TP-Link
Siedem dni po tym, jak FCC zakazała importu zagranicznych routerów konsumenckich do USA powołując się na chińskie zagrożenia (Volt/Salt/Flax Typhoon), FBI ujawnia że najaktywniejsza kampania eksploatacji SOHO routerów na świecie pochodzi od rosyjskiego GRU. 18 000+ urządzeń TP-Link w 120 krajach, CVE-2023-50224 znane od dwóch lat, podmiana DNS na routerze ofiary i AitM na wybrane domeny jak Outlook Web Access.
Komunikat pisze o “adversary-in-the-middle against encrypted traffic” jakby to było automatyczne, a w drugiej połowie zdania, małym drukiem, dodaje że atak działa tylko gdy ofiara kliknie przez ostrzeżenie certyfikatu. Koalicja 16 agencji (w tym polskie SKW) wydała wspólny alert z rekomendacją “zaktualizuj firmware i zmień hasło”, a strona PSA ma zepsute linki do NCSC-UK i CISA oraz link HTTP w dokumencie o przechwytywaniu ruchu.
Źródło: FBI/IC3 Public Service Announcement →
Rosja blokuje VPN-y — przy okazji wywala sobie system bankowy
Roskomnadzor zablokował Telegrama, ale 50 milionów Rosjan dalej go używa przez VPN-y. Kreml postanowił więc blokować zaszyfrowany ruch i protokoły tunelujące — system filtrujący się przeciążył, wywalając przy okazji aplikacje bankowe w całym kraju. Przez weekend gotówka była jedyną niezawodną metodą płatności w Rosji.
Pavel Durov komentuje: ograniczanie dostępu to “fool’s errand, destined to fail — whether in Iran or Russia”. Strategia Kremla: pchać obywateli na krajową super-appkę Max (klon WeChata), gdzie władze miałyby pełny wgląd w ruch — dokładnie model Pekinu z Weixin. Krytyka płynie nawet od żołnierzy i proputinowskich blogerów, bo Telegram jest kluczową platformą komunikacji na froncie w Ukrainie.
Źródło: TechSpot / Bloomberg →
Prywatność to iluzja — nawet na Torze
Cloudflare WARP wstrzykuje prawdziwe IP do ruchu Tor
Cloudflare Managed WARP Gateway wstrzykuje pięć nagłówków HTTP — w tym Cf-Connecting-Ip z prawdziwym IP użytkownika — zanim ruch wejdzie do sieci Tor. Tor działa na warstwie TCP i nie widzi zawartości HTTP, więc nagłówki przechodzą przez wszystkie trzy relay’e nietknięte.
Badacze z Beelzebub Labs odkryli to na honeypotcie udającym serwer Ollama (port 11434): atakujący z fińskiego VPS-a Hetznera puszczał ruch przez sześć exit node’ów w Szwecji, Holandii i Niemczech, a każdy request zawierał jego prawdziwy IP. Co gorsza, nieudokumentowany nagłówek Cf-Warp-Tag-Id (stały UUID) pozwolił powiązać sesje z dwóch różnych adresów IP — fińskiego VPS-a i francuskiego residentiala — w jedną tożsamość.
Atakujący myślał, że jest anonimowy przez Tora, a w rzeczywistości zostawiał wizytówkę w każdym pakiecie. Cloudflare nie odpowiedział, luka pozostaje otwarta.
Obrona i ataki
Google wypuszcza Device Bound Session Credentials — koniec ery kradzieży ciasteczek?
Google oficjalnie uruchamia DBSC (Device Bound Session Credentials) w Chrome 146 na Windowsie, macOS w kolejnej wersji. Mechanizm rozwiązuje fundamentalny problem: skradzione ciasteczko sesyjne = pełny dostęp do konta bez hasła, a infostealery (LummaC2 i spółka) żyją właśnie z tego modelu.
DBSC wiąże sesję kryptograficznie z urządzeniem przez klucze w TPM (Windows) lub Secure Enclave (macOS) — serwer wydaje krótkotrwałe ciasteczka, a ich odświeżenie wymaga dowodu posiadania klucza prywatnego, który nie opuszcza sprzętu. Skradzione ciasteczko wygasa w minutach i jest bezużyteczne. Google raportuje “significant reduction in session theft” po wczesnym wdrożeniu.
Prywatność: każda sesja ma osobny klucz, zero korelacji między sesjami, zero fingerprinting. Projekt idzie przez W3C z Microsoftem, Okta testowała w Origin Trial. Roadmapa obiecuje binding dla SSO/federacji, integrację z mTLS i hardware keys, software fallback dla urządzeń bez TPM. Teraz pytanie: kiedy reszta internetu to zaimplementuje? Standard jest otwarty, specyfikacja publiczna, ale póki banki, poczta i SaaS-y nie wdrożą endpointów rejestracji i odświeżania DBSC — infostealery dalej będą żyły z kradzieży sesji jak żyły.
Źródło: Google Security Blog →
Trzy 0-daye w Windows Defenderze — dwa wciąż bez łatki, już exploitowane
Researcher “Nightmare-Eclipse” opublikował trzy exploity na podatności Windows Defendera jako protest wobec procesu disclosure w MSRC — klasyczny przypadek gdy frustracja badacza staje się problemem milionów użytkowników.
BlueHammer (CVE-2026-33825, załatany w kwietniowym Patch Tuesday): LPE do SYSTEM. RedSun (bez CVE, BEZ ŁATKI): nadużywa absurdalnego zachowania Defendera — gdy AV wykrywa plik z chmurowym tagiem, “z jakiegoś głupiego i zabawnego powodu” sam go przepisuje w oryginalne miejsce, co atakujący wykorzystuje do nadpisania plików systemowych i eskalacji do admina. Działa na W10, W11, Server 2019+. UnDefend (bez CVE, BEZ ŁATKI): blokuje aktualizacje sygnatur Defendera jako zwykły użytkownik.
Huntress Labs potwierdza exploitację w wild od 10 kwietnia — RedSun i UnDefend znalezione na maszynie skompromitowanej przez SSLVPN z aktywnością hands-on-keyboard. Microsoft odpowiada szablonowo: “mamy zobowiązanie wobec klientów, wspieramy coordinated disclosure”. Dwa z trzech zero-dayów wciąż otwarte.
Na koniec: najgłupszy hack roku
Ktoś zhakował sygnalizatory dla pieszych w Silicon Valley — hasłem ‘1234’
W kwietniu 2025 ktoś objechał ~20 skrzyżowań w Silicon Valley i przez Bluetooth podmienił nagrania w przyciskach dla pieszych firmy Polara na deepfake’owe głosy Zuckerberga i Muska. Zuckerberg “chwalił się” podkopywaniem demokracji, Musk narzekał że jest “so alone”. Potem atak przeniósł się do Seattle (parodia Bezosa: “please don’t tax the rich”) i Denver.
WIRED wyciągnął przez FOIA maile urzędników — panika, wzajemne obwinianie się, zero przygotowania. Technicznie banalne: przyciski Polara wysyłane z domyślnym hasłem “1234”, konfigurowane przez publicznie dostępną aplikację Bluetooth, a osiem miesięcy wcześniej Deviant Ollam pokazał dokładnie ten atak na YouTubie.
Najlepsze: śledztwo stanęło w martwym punkcie bo przyciski nie logują kto uploaduje audio. Miesiąc temu Denver padł znowu — nowe przyciski wciąż miały domyślne hasło bo “nie były jeszcze oficjalnie uruchomione”. Urzędnik FHWA chciał wydać ogólnokrajowy alert, ale nie zdążył przed emeryturą bo DOGE przeczesał jego agencję.
Perfekcyjna historia o bezpieczeństwie infrastruktury publicznej: nieszkodliwy prank ujawnił że tysiące urządzeń na drogach w całych USA to otwarte drzwi.
Dziesięć historii, jeden wspólny mianownik: najgłośniejsze zagrożenia rzadko są tymi najgroźniejszymi. Prawdziwe problemy siedzą tam, gdzie nikt nie patrzy — w architekturze, w domyślnych hasłach, w assumed trust. Do następnego tygodnia (miejmy nadzieję ;) ) — zmieniajcie hasła z "1234" i nie rootujcie telefonów żeby udowodnić coś Redditowi.
Member discussion