Välkommen tillbaka till Tech Talk! Den här veckan bjuder på en våg av uppdateringar med långtgående konsekvenser för företagssäkerhet, integritetsskydd och industriell infrastruktur. Vi täcker allt från en ny autentiseringsmodell för webbsessioner till en pågående rättslig strid om krypterad iCloud-data.
Vi tar också en närmare titt på Microsofts nya uppdateringsmodell utan omstart, ett oroande intrång hos det amerikanska finansdepartementet, sårbarheter i industriella styrsystem och en märklig ny risk som introducerats av hallucinerande AI-verktyg. Dessutom får PHP en mycket behövd säkerhetsgranskning. Nu kör vi!
1. Enhetsbundna sessionsuppgifter: Början på slutet för sessionscookies
I årtionden har den ödmjuka webbläsarcookien gjort mer än vad den ursprungligen var avsedd för – den har upprätthållit inloggningar, drivit webbapplikationer och autentiserat användare på miljontals webbplatser. Men allt detta håller nu på att förändras. Ett nytt initiativ, kallat Device Bound Session Credentials (DBSC), är på väg att ersätta traditionella sessionscookies med något mycket säkrare och mer integritetsvänligt.
DBSC stöds nu i Chrome 135 och kommer snart till Firefox och Safari. Det introducerar ett kryptografiskt system som binder webbsessioner till specifika fysiska enheter. Istället för att skicka runt långlivade bärare-token som sessionscookies, kommer webbläsare att generera en kryptografisk nyckel som stannar på enheten och inte kan exporteras eller stjälas. Det betyder att skadlig kod eller angripare som fångar upp cookies inte kommer kunna använda dem på en annan enhet.
Så här fungerar det:
• Vid inloggning instruerar webbplatsen webbläsaren att generera en sessionsnyckel
• Nyckeln lagras säkert på enheten, ofta med hjälp av TPM eller annan hårdvarubaserad lagring
• När sessionscookien närmar sig utgång, kontaktar webbläsaren automatiskt en angiven endpoint för att förnya den
• För att få nya cookies måste webbläsaren kryptografiskt bevisa att den fortfarande är den ursprungliga enheten
• Om verifieringen lyckas, får webbläsaren förnyade cookies och sessionen fortsätter utan avbrott
Allt detta sker i bakgrunden och kan integreras i befintliga autentiseringsflöden med minimal påverkan. DBSC är också utformat för att motverka spårning, med integritetsskydd som unika nycklar per session och obligatorisk rensning när webbplatsdata tas bort.
Varför det är viktigt
Detta är en av de viktigaste förändringarna inom webbautentisering på över 30 år. Traditionella sessionscookies är sårbara för stöld och återanvändning. Om någon stjäl en cookie kan de ofta utge sig för att vara användaren tills cookien löper ut. DBSC löser detta genom att göra cookies värdelösa utanför den ursprungliga enheten.
För användare innebär detta starkare skydd mot kapade sessioner, nätfiske och cookie-stöld. För utvecklare erbjuder det ett modernt, skalbart sätt att förbättra sessionssäkerheten utan att behöva skriva om hela applikationen.
På SidiaTech anser vi att DBSC är ett smart steg framåt. Det kombinerar kraftfulla kryptografiska skydd med praktisk användbarhet, och påverkar prestanda och kompatibilitet minimalt. Det banar också väg för framtida identitetsstandarder, särskilt i företagsmiljöer där kapade sessioner kan få allvarliga konsekvenser.
Detta är bara början. När fler webbläsare anammar DBSC och fler webbplatser aktiverar det, kommer vi troligen att se en stor förändring i hur autentisering hanteras online – och ett välförtjänt farväl till den överarbetade, sårbara cookien.
2. Får Android ett eget Lockdown-läge? Allt tyder på det
Inget har officiellt tillkännagivits ännu, men det finns allt fler tecken på att Google arbetar på ett högsäkerhetsläge för Android, liknande det Lockdown-läge som Apple introducerade på iPhones 2022. Kod som hittats i beta-versioner av Android 16 pekar på en funktion kallad Android Advanced Protection Mode (AAPM), som kan tillkännages under den kommande Google I/O-konferensen.
Precis som Apples Lockdown-läge är denna nya funktion inte avsedd för vanliga användare. Den är istället designad för individer som löper hög risk att utsättas för riktade cyberattacker, såsom journalister, aktivister eller personer i politiskt känsliga miljöer.
Om det lanseras förväntas AAPM:
• Inaktivera osäkra 2G-mobilanslutningar
• Blockera sidoladdning av appar från okända källor
• Aktivera minnesskydd för att förhindra exploateringar
• Tvinga enheten att starta om efter 72 timmars inaktivitet, vilket rensar eventuella skadliga program från minnet
Utvecklare har också upptäckt API:er som gör det möjligt för appar att känna av när AAPM är aktiverat. Det innebär att appar automatiskt kan inaktivera potentiellt riskfyllda funktioner som exempelvis förhandsvisning av multimedia eller just-in-time-kompilering (JIT), båda kända vägar för tidigare attacker.
Varför det är viktigt
Den här typen av läge erbjuder ett mycket efterlängtat skyddslager för individer som står inför allvarliga digitala hot. Även om funktionen minskar användarvänligheten, ger den ett kraftigt förbättrat skydd i högriskmiljöer.
För Android skulle detta vara ett stort steg framåt mot att minska säkerhetsklyftan gentemot iOS. I ett större perspektiv speglar det också en branschförändring där användare ges större kontroll över säkerheten på enhetsnivå. Oavsett om man själv använder det eller inte, förbättrar denna valmöjlighet ekosystemet för alla.
3. Hotpatching kommer till Windows 11 Enterprise: Färre omstarter, snabbare säkerhet
Microsoft har nu officiellt lanserat Hotpatching för användare av Windows 11 Enterprise och Education – en efterlängtad funktion inom skrivbordsvärlden: säkerhetsuppdateringar som inte kräver omstart.
Denna funktion, som nu finns tillgänglig med Windows 11 version 24H2, gör det möjligt att applicera de flesta månatliga säkerhetsuppdateringarna direkt i systemets minne medan det körs. Endast en fullständig omstart krävs per kvartal – specifikt i januari, april, juli och oktober – när Windows utför en kumulativ uppdatering för att lägga till nya funktioner och synkronisera ändringar. Under övriga månader hanteras uppdateringarna genom så kallade “hotpatch”-uppdateringar som applicerar säkerhetsfixar utan att starta om datorn.
För att kunna använda denna nya funktion krävs att systemen uppfyller några villkor:
• Windows 11 Enterprise- eller Education-licens (E3, E5, F3, A3, A5 eller Windows 365 Enterprise)
• Version 24H2 (build 26100.2033 eller senare)
• x64-processor (Intel eller AMD)
• Hanteras via Microsoft Intune med en uppdateringspolicy som har hotpatching aktiverad
Enheter som uppfyller dessa kriterier kommer att ingå i en kvartalsvis uppdateringscykel som kraftigt minskar störningar och ökar uppdateringshastigheten.
Även om Microsoft ännu inte har rullat ut denna teknik till sina serverplattformar, är potentialen för att minimera driftstopp uppenbar – och sannolikt något som finns på företagets utvecklingsplan.
Varför det är viktigt
Frekventa uppdateringar är avgörande för cybersäkerhet, men omstarter skapar friktion, särskilt i företagsmiljöer där systemens tillgänglighet är kritisk. Hotpatching är ett stort framsteg eftersom det eliminerar konflikten mellan säkerhet och produktivitet.
Organisationer kan nu svara snabbare på nya hot utan att avbryta arbetsflöden eller schemalägga driftstopp. Det är särskilt värdefullt för branscher med dygnet-runt-drift, såsom sjukvård, logistik och finans.
Microsofts drag bekräftar också en verklighet som många administratörer länge har känt till: patchning i minnet är inte bara möjlig – den är praktisk. Det tredjepartsbaserade säkerhetsverktyget 0patch har erbjudit en liknande lösning i flera år, och ofta täppt till zero-day-sårbarheter innan Microsoft hunnit agera. Nu tar Microsoft denna kapacitet till den breda massan.
Det här är en vinst för IT-team och ett tydligt tecken på att Windows är på väg mot en mer flexibel och mindre störande uppdateringsmodell.
4. Oracle-incidenten fördjupas: Läckta data, interna inspelningar och juridiska problem
Situationen kring den påstådda cybersäkerhetsincidenten hos Oracle fortsätter att förvärras. Trots växande bevis och flera källor som bekräftar påverkan på kunder, håller Oracle fast vid sitt offentliga förnekande. Samtidigt har företaget enligt uppgift börjat erkänna intrånget för kunder – men enbart i privata och informella samtal.
Säkerhetsforskaren Kevin Beaumont publicerade nyligen ett detaljerat inlägg som sammanfattar läget. Han anklagar Oracle för att medvetet tona ner händelsen genom att använda semantik för att distansera intrånget från “Oracle Cloud” och istället kalla den drabbade plattformen för “Oracle Cloud Classic.” Trots detta är de komprometterade systemen fortfarande fullt hanterade av Oracle och ingår i deras övergripande molninfrastruktur.
Bevis som stöder intrånget inkluderar:
• En archive.org-länk som visar att angriparen hade skrivåtkomst till Oracles infrastruktur
• En två timmar lång intern inspelning från ett Oracle-möte, läckt av angriparen, med diskussioner om interna lösenordshanterare och kundsystem
• Direkta bekräftelser från Oracle-kunder som verifierat att de läckta uppgifterna innehöll verklig användar- och personaldata
• Flera konfigurationsfiler från Oracle som delats offentligt, inklusive aktuella serverinställningar
Oracle har enligt uppgift bett archive.org att ta bort bevismaterialet, och enligt Beaumont sker nu endast muntliga avslöjanden till stora kunder – företaget vägrar bekräfta något skriftligt.
Utöver detta har en grupptalan lämnats in i Texas gällande ett dataintrång hos Oracle Health – en incident som Oracle ännu inte har erkänt offentligt.
Varför det är viktigt
Detta håller snabbt på att bli ett skolboksexempel på hur man inte bör hantera ett dataintrång. Oracles ovilja att offentligt bekräfta vad som redan bevisats genom läckta data, kundverifieringar och rättsprocesser undergräver tilliten – inte bara till deras molntjänster, utan till företagsöppenhet i stort.
Om de berörda systemen hanterar kunddata – vilket nuvarande bevis starkt antyder – bör detta redovisas enligt SEC:s regler, som kräver att börsnoterade företag rapporterar väsentliga incidenter. Oracles fortsatta tystnad antyder en medveten strategi för att minimera juridiska och ryktemässiga konsekvenser, men detta sker till ett långsiktigt pris.
På SidiaTech anser vi att tydlighet, inte försköning, bygger förtroende inom cybersäkerhet. Organisationer som arbetar med Oracle – särskilt inom reglerade branscher som sjukvård – förtjänar omedelbara och skriftliga upplysningar för att kunna bedöma sin egen risk och agera därefter.
Rättsprocesserna kan så småningom tvinga fram större öppenhet. Men i nuläget skickar Oracles hantering ett tydligt budskap: juridisk skademinimering prioriteras över kundens rätt till insyn.
5. E-postintrång hos US Treasury’s OCC förblev oupptäckt i över ett år
Office of the Comptroller of the Currency (OCC), en avdelning inom det amerikanska finansdepartementet, har avslöjat ett långvarigt cybersäkerhetsintrång som förblev oupptäckt i över ett år. Enligt rapporter avlyssnades e-postmeddelanden från nästan 100 OCC-anställda med start i juni 2023, och intrånget upptäcktes först i januari 2025 av Cybersecurity and Infrastructure Security Agency (CISA).
Totalt tros intrånget ha omfattat över 150 000 e-postmeddelanden, inklusive känslig kommunikation. Denna incident är den tredje cybersäkerhetsincidenten som involverar en avdelning inom finansdepartementet på senare år, efter tidigare intrång hos Office of Foreign Assets Control (OFAC) och Committee on Foreign Investment in the United States (CFIUS). Båda dessa tidigare attacker tillskrevs Kinas statsstödda grupp Silk Typhoon.
Ingen officiell aktör har ännu pekats ut för det senaste intrånget hos OCC. Men med tanke på mönstret och måltavlorna misstänker många experter att samma aktörer kan ligga bakom.
Det som gör denna incident särskilt oroande är den långa tidsperioden under vilken intrånget förblev oupptäckt. I över ett år kunde känslig federal kommunikation komprometteras i tysthet, vilket utgör en enorm underrättelserisk.
Berättelsen sammanfaller också med växande oro kring långsiktig datainsamling av utländska hotaktörer. Under en färsk intervju i CNN varnade en asiatisk policyanalytiker för att Kina redan kan ha tillgång till stora mängder komprometterad amerikansk myndighetsdata – data som kan “vapeniseras” i framtida konflikter, inte genom traditionella attacker, utan genom selektiva läckor, desinformationskampanjer eller riktade påverkansoperationer.
Varför det är viktigt
Den här incidenten är en tydlig påminnelse om att långvariga intrång kan vara minst lika farliga – om inte farligare – än kortvariga attacker. När övervakning pågår oupptäckt i mer än ett år får angripare insyn i policydiskussioner, operativa rutiner och organisationsstrukturer. Sådan information kan vara oerhört kraftfull när den används strategiskt.
Liksom vid tidigare intrång hos finansdepartementet tyder måltavlan även här på geopolitiska motiv, snarare än slumpmässiga attacker. Denna typ av attack visar att kritiska institutioner fortfarande är sårbara för långsam, tyst infiltration – särskilt genom e-postsystem, som ofta är den svagaste länken i myndigheters cybersäkerhet.
På SidiaTech anser vi att organisationer av alla storlekar bör granska sin e-postinfrastruktur med samma allvar som andra affärskritiska system. Det innebär att tillämpa zero trust-principer, ha robusta detektions- och loggningsfunktioner, krypterad kommunikation och kontinuerlig utbildning i säkerhetsmedvetenhet.
För regeringar är lärdomen tydlig: datastöld idag kanske inte får omedelbara konsekvenser – men den kan användas emot dig senare på sätt som är svåra att förutse och ännu svårare att försvara sig mot.
6. Apple vs. Storbritannien: Domstol kräver att iCloud-backdoor-förhandling blir offentlig
Den juridiska striden mellan Apple och den brittiska regeringen om end-to-end-kryptering av iCloud-data fortsätter, och denna vecka kom ett betydande genombrott. Efter påtryckningar från Apple och flera internationella intressegrupper har en brittisk domstol beslutat att förhandlingen kring regeringens krav på en bakdörr måste offentliggöras.
Den aktuella förhandlingen rörde den brittiska regeringens försök att tvinga Apple att ge åtkomst till krypterad iCloud-data för vilken användare som helst, var som helst i världen, vid begäran. Förhandlingen hölls initialt bakom stängda dörrar, men Apple överklagade beslutet direkt – och har nu vunnit överklagan.
Det är den brittiska domstolen Investigatory Powers Tribunal, som övervakar ärenden kopplade till statlig övervakning, som avslog påståendet att nationell säkerhet skulle äventyras av att offentliggöra förhandlingsresultatet. Enligt domen måste öppen rättvisa få företräde, även om det kan ta tid innan detaljerna blir klara.
För närvarande befinner sig målet fortfarande i en procedurfas. Apple och den brittiska regeringen kommer nu att få tid att granska domen och lämna förslag på hur och när resultaten ska offentliggöras.
Det råder fortfarande osäkerhet kring slutresultatet. Den brittiska regeringen kan fortsätta försöka begränsa Apples funktion Advanced Data Protection (ADP), som erbjuder end-to-end-kryptering för iCloud-data. Apple har hittills vägrat kompromissa med krypteringen på sina plattformar, men det är möjligt att företaget tvingas inaktivera ADP för användare i Storbritannien om ingen lösning nås.
Varför det är viktigt
Detta fall belyser den växande konflikten mellan användarnas integritet och statens övervakningsmakt – och insatserna är höga. Om Storbritannien lyckas tvinga Apple att försvaga krypteringen eller införa regionala undantag, kan det skapa ett farligt prejudikat för andra länder som vill ha liknande åtkomst.
Här finns inget mellanläge – antingen finns end-to-end-kryptering, eller så gör den det inte. Om Apple gör undantag för vissa regioner undermineras hela säkerhetsmodellen för alla. Därför kommer resultatet av detta fall att få globala konsekvenser, inte bara för användare i Storbritannien.
På SidiaTech stödjer vi alla insatser för att göra rättsprocesser som rör digitala rättigheter mer transparenta. Övervakningslagar bör inte utformas eller tillämpas i hemlighet. Öppen debatt och granskning är avgörande för att balansera offentlig säkerhet med personlig integritet.
Detta fall understryker också varför tekniska skydd som end-to-end-kryptering är så viktiga. I en allt mer uppkopplad värld är det bästa sättet att skydda känslig information att se till att ingen – inte ens tjänsteleverantören – kan komma åt den utan användarens samtycke.
Vi kommer att följa detta mål noggrant, för det som händer härnäst kommer påverka hur säkra våra data faktiskt är i händerna på globala teknikleverantörer.
7. När AI hittar på mjukvarupaket – och angripare tar anteckningar
En ny akademisk studie har kastat ljus över ett växande och oväntat hot i världen av AI-assisterad kodning. Forskare från flera amerikanska universitet publicerade nyligen en studie med titeln “We Have a Package for You! A Comprehensive Analysis of Package Hallucinations by Code Generating LLMs.” Studien visar hur stora språkmodeller (LLM:er) ofta hallucinerar – det vill säga hittar på namn på mjukvarupaket som inte existerar, men ändå rekommenderar dem som om de vore verkliga.
För att testa detta genererade forskarteamet 576 000 kodexempel i Python och JavaScript med hjälp av 16 populära LLM:er, inklusive GPT-4, GPT-3.5, CodeLlama, WizardCoder, DeepSeek och Mistral. Resultaten var slående:
• 19,7 % av alla rekommenderade paket existerade inte
• Öppen källkodsmodeller hallucinerade betydligt oftare (21,7 %) än kommersiella (5,2 %)
• De sämsta modellerna hallucinerade i över en tredjedel av sina resultat
• GPT-4 Turbo hade lägst hallucinationsfrekvens med 3,59 %
• Över 205 000 unika påhittade paketnamn observerades
Huvudinsikten? Dessa påhittade paket var inte bara slumpmässigt brus. Mer än hälften dök upp konsekvent över flera olika prompts, vilket gör dem förutsägbara – och utnyttjningsbara.
Detta har lett till ett nytt begrepp: slopsquatting – en ordlek på “typosquatting”. Det syftar på att angripare registrerar falska paketnamn som LLM:er ofta hittar på. Om en utvecklare kopierar AI-genererad kod utan att kontrollera paketnamnet, kan de av misstag installera skadlig programvara.
Varför det är viktigt
Det här är inte bara en udda AI-bugg – det är en verklig, exploaterbar sårbarhet i mjukvarans leveranskedja. I takt med att fler utvecklare förlitar sig på AI-genererad kod för att öka sin produktivitet, växer risken att man litar blint på hallucinerade beroenden.
Slopsquatting är särskilt farligt eftersom det är både upprepningsbart och skalbart. Hotaktörer behöver inte gissa vilka paket som ska registreras – de kan studera modellutdata, identifiera vanligt förekommande hallucinationer och helt enkelt vänta på att en utvecklare ska använda dem. Nästa gång någon kör npm install eller pip install med ett sådant namn, kan angriparens skadliga kod installeras automatiskt.
På SidiaTech ser vi detta som en viktig påminnelse: AI-verktyg är påskyndare – inte genvägar. Utvecklare måste vara vaksamma och tillämpa samma granskning på AI-genererad kod som på all annan kod som läggs till i produktion. Att verifiera varje beroende, verkligt eller påhittat, måste bli standardpraxis.
Detta är ytterligare en anledning till varför säkra kodningsvanor och DevSecOps-principer är viktigare än någonsin i AI-eran. Automatisering kan öka produktiviteten – men utan skyddsräcken kan den också öka risken dramatiskt.
