#jailbreaking

anonymiss@despora.de

#CVE-2024-20356: #Jailbreaking a #Cisco appliance to run #DOOM

In this adventure, the Cisco #C195 device family was jailbroken in order to run unintended code. This includes the discovery of a vulnerability in the #CIMC body management controller which affects a range of different devices, whereby an authenticated high privilege user can obtain underlying root access to the server’s #BMC (CVE-2024-20356) which in itself has high-level access to various other components in the system. The end goal was to run DOOM – if a smart fridge can do it, why not Cisco?

source: https://labs.nettitude.com/blog/cve-2024-20356-jailbreaking-a-cisco-appliance-to-run-doom/

#software #security #bug #network #game #news #vulnerability #exploit #hack #hacker

anonymiss@despora.de

#Jailbreaking an Electric Vehicle in 2023 or What It Means to Hotwire #Tesla's x86-Based Seat Heater

source: https://www.blackhat.com/us-23/briefings/schedule/index.html#jailbreaking-an-electric-vehicle-in--or-what-it-means-to-hotwire-teslas-x-based-seat-heater-33049

In this talk, we will present an attack against newer #AMD -based infotainment systems (MCU-Z) used on all recent models. It gives us two distinct capabilities: First, it enables the first unpatchable AMD-based "Tesla Jailbreak", allowing us to run arbitrary software on the infotainment. Second, it will enable us to extract an otherwise vehicle-unique hardware-bound #RSA key used to authenticate and authorize a car in Tesla's internal service network.

#hack #hacker #blackhat #technology #freedom #software #hardware #news #car

aktionfsa@diasp.eu

20.04.2023 Integration von KI in gängige Anwendungen

Drei Gründe ...

Der Erfolg bei der Erzeugung von künstlicher Intelligenz wäre das bedeutendste Ereignis in der Geschichte des Menschen. Unglücklicherweise könnte es auch das letzte sein. Stephen Hawking

Eigentlich hätte es heißen müssen "Drei zusätzliche Gründe ... für die Gefahren einer KI", denn über die rassistischen Neigungen einer KI nach wenigen Tagen in freier Wildbahn und über die Gedanken von Stephen Hawkins hatten wir schon geschrieben.

Heise.de untersucht nun drei weitere Gründe, warum ein ChatBot ein Sicherheitsrisiko sein kann.

  • Jailbreaking
  • Scamming und Phishing
  • Daten "vergiften"

Alle diese Fälle werden deshalb zu einem Problem, weil die großen Konzerne damit begonnen haben, ChatBots in ihre Anwendungen zu integrieren.

Jailbreaking

Auch wenn die Hersteller der ChatBots (nach den ersten Missgeschicken) darauf geachtet haben, dass sich ihre Produkte an Regeln halten, so lässt sich weiterhin das Sprachmodell anweisen, seine vorherigen Anweisungen und Sicherheitsleitplanken zu ignorieren (Prompt-Injektionen). Deshalb wird es auch weiter dazu kommen, dass KI-Modelle dazu gebracht werden, Rassismus oder Verschwörungstheorien zu befürworten oder den Nutzern illegale Aktivitäten vorschlagen.

Scamming und Phishing

Ein größeres Problem entsteht dadurch, dass OpenAI Ende März bekannt gab, dass es die Integration von ChatGPT in Produkte erlaubt, die im Internet surfen und damit interagieren können. Ohne es zu ahnen, verwenden Nutzer Browser oder Apps in denen KI-Programm ihnen jeweils verschiedene Texte anbieten. Bringt man die KI dazu auf diesen Seiten versteckte Eingabeaufforderungen unterzubringen, so müssen die Angreifer die Nutzer über soziale Medien oder E-Mails nur dazu bringen diese geheimen Eingabeaufforderungen zu verwenden.

Ein Beispiel gibt Arvind Narayanan, Professor für Informatik an der Princeton University in dem Artikel auf Heise.de. "Wenn der Empfänger zufällig einen virtuellen KI-Assistenten verwendet, könnte der Angreifer diesen so manipulieren, dass er dem Angreifer persönliche Informationen aus den E-Mails des Opfers übermittelt oder sogar in fremdem Namen E-Mails an Personen aus der Kontaktliste des Opfers schickt."

In Versuchen ist es ihm gelungen mit einem Bing Browser von Micrsoft, der Chatbot Unterstützung enthält "einen Text zu generieren, der den Eindruck erweckte, ein Microsoft-Mitarbeiter würde vergünstigte Microsoft-Produkte verkaufen. Auf diese Weise versuchte er, an die Kreditkartendaten des Benutzers zu gelangen."

Während früher die Hacker die Nutzer dazu bringen mussten, schädlichen Code auf ihren Computern auszuführen, so tun dies künftig die Chatbots allein.

Daten "vergiften"

Spiegeln die Daten des KI-Programms die Wirklichkeit wider? In der Regel sollte das gelten - allerdings mit der Einschränkung der Begrenztheit des Datensatzes - das sollte man grundsätzlich nie vergessen. Aber was passiert, wenn die Datensammlung manipuliert wurde? Das kann absichtlich durch die Konstrukteure des Programm geschehen aber auch durch Daten aus einem vorgespiegelten Fake Internet. So konnten Forscher mit dem Einsatz von 60$ für den Kauf einer Domain und falschen Bildern und Inhalten auf dieser Seite zeigen, dass eine KI diese Daten genauso in ihr Modell einbaut wie Daten aus der realen Welt.

Wir können uns also künftig auf eine "Meinungsvielfalt" einstellen, die mit der Realität nicht mehr viel zu tun hat.

Mehr dazu bei https://www.heise.de/hintergrund/Drei-Gruende-warum-KI-Chatbots-eine-Sicherheitskatastrophe-sind-8933941.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3tD
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8374-20230420-integration-von-ki-in-gaengige-anwendungen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8374-20230420-integration-von-ki-in-gaengige-anwendungen.html
Tags: #Jailbreaking #Scamming #Phishing #Algorithmen #ChatGPT #Cyberwar #Wissen #Realität #Frieden #Krieg #OpenSource #Menschenrechte #KI #AI #KuenstlicheIntelligenz #Bing #Twitter #Microsoft #Musk #Rassist #DataMining