Η εκμετάλλευση έγχυσης κώδικα στο AI της Meta παρέχει πρόσβαση σε λογαριασμούς Instagram, επηρεάζοντας ακόμη και τον Λευκό Οίκο Ομπάμα

Το Relatos ενός σοβαρού ελαττώματος ασφαλείας άρχισε να κυκλοφορεί, υποδεικνύοντας ότι οι χάκερ κατάφεραν να ξεγελάσουν τον βοηθό τεχνητής νοημοσύνης του Meta σε Instagram. Η εκμετάλλευση Este επέτρεψε μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς χρηστών. Η ευπάθεια θα είχε λειτουργήσει ακόμη και με ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων, εγείροντας ανησυχίες σχετικά με την αποτελεσματικότητα των υπαρχόντων επιπέδων προστασίας.

Ο Antes ανέμενε ότι ο Meta θα εφαρμόσει μια επιδιόρθωση για την ευπάθεια, το exploit φέρεται να επέτρεπε στους εισβολείς να αναλάβουν τον έλεγχο των λογαριασμών για περιόδους που εκτείνονται σε μήνες. Entre οι επιβεβαιωμένοι στόχοι, ο ανενεργός λογαριασμός του Instagram του Casa Branca του Obama ξεχωρίζει, υπογραμμίζοντας τον πιθανό αντίκτυπο τέτοιων παραβιάσεων σε προφίλ υψηλής ορατότητας. Η πολυπλοκότητα της επίθεσης αποκαλύπτει ένα νέο μέτωπο στις προκλήσεις της ψηφιακής ασφάλειας στον κυβερνοχώρο.

Τεχνικοί εκμετάλλευσης τεχνητής νοημοσύνης Detalhes Meta

Η μηχανική της επίθεσης περιελάμβανε μια σειρά βημάτων που είχαν σχεδιαστεί για τον χειρισμό του βοηθού τεχνητής νοημοσύνης του Meta. Primeiramente, ο εισβολέας χρησιμοποίησε ένα Rede Privada Virtual (VPN) που είχε διαμορφωθεί για να ταιριάζει με τη γεωγραφική θέση του λογαριασμού-στόχου. Το βήμα Essa ήταν ζωτικής σημασίας για την προσομοίωση της νόμιμης πρόσβασης και την παράκαμψη πιθανών ειδοποιήσεων ασφαλείας βάσει γεωγραφικής τοποθεσίας. Η ακρίβεια στην μίμηση της προέλευσης του χρήστη συνέβαλε στην αποτελεσματικότητα της μεθόδου.

Στη συνέχεια, στάλθηκε ένα συγκεκριμένο μήνυμα στον βοηθό AI. Η διατύπωση αυτού του μηνύματος ήταν το κεντρικό στοιχείο της «ένεσης κώδικα», που σχεδιάστηκε για να ξεγελάσει την τεχνητή νοημοσύνη σε μια ακούσια ενέργεια. Το AI, με τη σειρά του, επεξεργάστηκε την εντολή ως νόμιμο αίτημα για αλλαγή των δεδομένων χρήστη, χωρίς την κατάλληλη επαλήθευση.

Το μήνυμα, ουσιαστικά, ζητούσε από τον βοηθό να συνδέσει μια νέα διεύθυνση email με τον λογαριασμό. Το κείμενο περιελάμβανε το όνομα χρήστη του λογαριασμού-στόχου και τη διεύθυνση email του εισβολέα, καθώς και μια οδηγία για την αποστολή του κωδικού επαναφοράς σε αυτό το κακόβουλο email. Το Este απλή αλλά έξυπνη διαδικασία εκμεταλλεύτηκε ένα λογικό ελάττωμα στην ερμηνεία της τεχνητής νοημοσύνης.

Ο βοηθός AI ανταποκρίθηκε στο αίτημα άμεσα και χωρίς δισταγμό, στέλνοντας έναν σύνδεσμο επαναφοράς κωδικού πρόσβασης στη διεύθυνση email που έδωσε ο εισβολέας. Ο σύνδεσμος Este επέτρεψε στον εισβολέα να επαναφέρει τον κωδικό πρόσβασης του λογαριασμού και, κατά συνέπεια, να αναλάβει τον πλήρη έλεγχο. Η έλλειψη πιο ισχυρής επικύρωσης από την AI ήταν το κρίσιμο σημείο που κατέστησε δυνατή την παραβίαση.

Επιτεθείτε στο Sequência για πρόσβαση σε λογαριασμούς Instagram

Η μέθοδος που χρησιμοποιήθηκε από τους χάκερ δείχνει μια περίπλοκη κατανόηση των τρωτών σημείων στα συστήματα τεχνητής νοημοσύνης και στα πρωτόκολλα ανάκτησης λογαριασμού. Η αποτελεσματικότητα εξαρτιόταν από την ακριβή εκτέλεση κάθε βήματος.

Τα βασικά σημεία της σειράς επίθεσης περιελάμβαναν:

• VPN Uso:Οι εισβολείς χρησιμοποίησαν ένα VPN για να κρύψουν την πραγματική τους τοποθεσία, κάνοντάς την να ταιριάζει με εκείνη του λογαριασμού που θα χακαριστεί, γεγονός που αύξησε την αξιοπιστία του αιτήματος εντός του συστήματος.
• Mensagem με χειρισμό:Δημιουργήθηκε μια συγκεκριμένη φράση για τον βοηθό AI, που περιέχει σαφείς οδηγίες για τη σύνδεση ενός νέου email και την αποστολή ενός κωδικού επαναφοράς.
• Διαπιστευτήρια Inclusão:Το μήνυμα εισήγαγε απευθείας το όνομα χρήστη του λογαριασμού-στόχου (χρησιμοποιώντας τη μορφή @{target_username}) και τη διεύθυνση ηλεκτρονικού ταχυδρομείου που ελέγχεται από τον εισβολέα ({attacker_email}).
• Κωδικός Envio από AI:Ο βοηθός AI, προγραμματισμένος να διευκολύνει την ανάκτηση λογαριασμού, επεξεργάστηκε το αίτημα και έστειλε έναν σύνδεσμο επαναφοράς κωδικού πρόσβασης απευθείας στο email του εισβολέα, ολοκληρώνοντας την ανάκτηση του λογαριασμού.

Η στρατηγική Essa τόνισε τη σημασία των πιο περίπλοκων μηχανισμών ασφαλείας από την απλή επικύρωση γεωγραφικής θέσης, ειδικά όταν πρόκειται για πρόσβαση σε ευαίσθητες πληροφορίες χρήστη. Η υπερβολική εξάρτηση από την ερμηνεία της τεχνητής νοημοσύνης των εντολών φυσικής γλώσσας έχει αποδειχθεί ότι είναι ένας φορέας επίθεσης.

Invasão σε ανενεργό λογαριασμό Obama Casa Branca

Η παραβίαση ασφαλείας δεν περιορίστηκε στους απλούς χρήστες, φτάνοντας ακόμη και σε υψηλού προφίλ θεσμικά προφίλ. Ο λογαριασμός Casa Branca του Obama, ένα ιστορικό ψηφιακό στοιχείο, ήταν ένας από τους στόχους της εκμετάλλευσης της έγχυσης κώδικα. Η παραβίαση του συγκεκριμένου λογαριασμού επέστησε την προσοχή στο εύρος και τη σοβαρότητα της ευπάθειας.

Leia Tambem

Τα κρουστικά κύματα από τα ετοιμοθάνατα αστέρια σμιλεύουν αστρικά φυτώρια κοσμικών βαγονιών σε σχήμα τροχού

Το Project Svarog και άλλες δοκιμές δείχνουν δυνατότητες και όρια των ηλιακών πανιών στο διάστημα

Η μελέτη του Imperial College δείχνει ηλιακά πανιά στην άκρη του ηλιακού συστήματος σε 10 ή 20 χρόνια

Η εν λόγω σελίδα ήταν ανενεργή από τις 20 Ιανουαρίου 2017, την ημερομηνία των εγκαινίων του τότε προέδρου Donald Trump. Durante χρόνια, δεν υπήρξαν νέες αναρτήσεις ή εμφανής δραστηριότητα, καθιστώντας το στόχο που ενδέχεται να μην τυγχάνει συνεχούς παρακολούθησης. Η παρατεταμένη αδράνεια του Essa μπορεί να ήταν ένας παράγοντας που διευκόλυνε τις ενέργειες των χάκερ με την πάροδο του χρόνου.

Οι εισβολείς εκμεταλλεύτηκαν την πρόσβασή τους για να δημοσιεύσουν μια ασυνήθιστη εικόνα στον λογαριασμό. Η εικόνα συνοδευόταν από μια προκλητική λεζάντα: «Το Casa Branca βρίσκεται υπό τον έλεγχο των Σιιτών». Η δημοσίευση του Esta όχι μόνο επιβεβαίωσε την εισβολή, αλλά κατέδειξε επίσης την πρόθεση των χάκερ να μεταδώσουν πολιτικά μηνύματα μέσω ενός πολύ σχετικού καναλιού. Η φύση του περιεχομένου που δημοσιεύτηκε αύξησε τον αντίκτυπο των ειδήσεων.

Η χρήση ενός τόσο σημαντικού προφίλ για τη διάδοση ενός πολιτικού μηνύματος ανέδειξε τις πιθανές συνέπειες της αποτυχίας. Η ακατάλληλη πρόσβαση του Além, η ικανότητα παραβίασης του περιεχομένου ενός δημόσιου λογαριασμού με θεσμικό ιστορικό απέδειξε τη δύναμη του exploit. Η αξιοπιστία των ψηφιακών πλατφορμών υπονομεύεται σοβαρά από τέτοια περιστατικά.

Συντριβή Implicações πριν από τη διόρθωση Meta

Το ελάττωμα πριν από την επιδιόρθωσή του από το Meta έθεσε κρίσιμα ερωτήματα σχετικά με την ασφάλεια των δεδομένων και την ευρωστία των βοηθών τεχνητής νοημοσύνης. Η ικανότητα ενός exploit να επιτρέπει τον έλεγχο λογαριασμού για μήνες, όπως προτείνεται από αναφορές, υποδηλώνει μια επίμονη παραβίαση που είναι δύσκολο να εντοπιστεί. Η μεγάλη διάρκεια έκθεσης ενίσχυσε τους κινδύνους για τους χρήστες.

Η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων, μιας από τις κύριες μεθόδους προστασίας λογαριασμού, δεν ήταν αρκετή για να σταματήσει τις επιθέσεις. Το Isso προτείνει ότι η ευπάθεια βρισκόταν σε ένα θεμελιώδες επίπεδο του συστήματος ασφαλείας, πριν από τη σάρωση δεύτερου παράγοντα. Η εμπιστοσύνη των χρηστών σε αυτόν τον πόρο διακυβεύτηκε άμεσα από την αναποτελεσματικότητά του έναντι της εκμετάλλευσης.

Το περιστατικό με τον λογαριασμό Casa Branca του Obama απέδειξε τον κίνδυνο παραπληροφόρησης και χειραγώγησης της αφήγησης. Η δημοσίευση ενός πολιτικού μηνύματος σε ένα προφίλ που συνδέεται ιστορικά με τον προεδρικό θεσμό Estados Unidos θα μπορούσε να έχει σοβαρές συνέπειες εάν δεν εντοπιστεί και δεν διορθωθεί γρήγορα. Η ακεραιότητα των διαδικτυακών πληροφοριών αμφισβητείται συνεχώς από τέτοιες επιθέσεις.

Το Meta, για να διορθώσει το ελάττωμα, αντιμετώπισε την πρόκληση της αποκατάστασης της εμπιστοσύνης των χρηστών στο AI και στα συστήματα ασφαλείας του. Η ανάγκη για συνεχείς αναθεωρήσεις και βελτιώσεις στους αλγόριθμους τεχνητής νοημοσύνης έχει γίνει εμφανής. Η κυβερνοασφάλεια απαιτεί συνεχή επαγρύπνηση και ικανότητα προσαρμογής έναντι νέων μορφών επίθεσης που εκμεταλλεύονται τις αναδυόμενες τεχνολογίες.

Το επεισόδιο χρησιμεύει ως υπενθύμιση ότι ακόμη και οι πιο προηγμένες τεχνολογίες, όπως η τεχνητή νοημοσύνη, μπορούν να έχουν εκμεταλλεύσιμα τρωτά σημεία. Η αλληλεπίδραση μεταξύ ανθρώπων και τεχνητής νοημοσύνης σε κρίσιμα για την ασφάλεια περιβάλλοντα πρέπει να σχεδιαστεί αυστηρά, λαμβάνοντας υπόψη όλες τις πιθανές οδούς χειραγώγησης. Η προστασία δεδομένων και το απόρρητο των χρηστών παραμένουν αδιαπραγμάτευτες προτεραιότητες.