At this point the question is no longer whether a new device runs DOOM, but rather how well. In the case of Anker’s Prime Charging Station it turns out that it’s actually not too terrible at controlling the game, as [Aaron Christophel] demonstrates. Unlike the similar Anker power bank product with BLE and a big display that we previously covered, this device has quite the capable hardware inside.
Playing a quick game of DOOM while waiting for charging to finish. (Credit: Aaron Christophel, YouTube)
According to [Aaron], inside this charging station you’ll not only find an ESP32-C3 for Bluetooth Low Energy (BLE) duty, but also a 150 MHz Synwit SWM341RET7 (Chinese datasheet) ARM-based MCU along with 16 MB of external flash and 8 MB of external RAM. Both of these are directly mapped into the MCU’s memory space. The front display has a 200×480 pixel resolution.

This Synwit MCU is a bit of a curiosity, as it uses ARM China’s Star-MC1 architecture most of the information on it is in Chinese, though it’s clear that it implements the ARMv8-M profile. It can also be programmed the typical way, which is what [Aaron] did to get DOOM on it, with the clicky encoder on the side of the charging station being the sole control input.

As can be seen in the video it makes for a somewhat awkward playing experience, but far more usable than one might expect, even if running full-screen proved to be a bit too much for the hardware.

youtube.com/embed/MdOU8SqCqeY?…

hackaday.com/2025/08/21/playin…

I ricercatori di Proofpoint hanno identificato un sofisticato attacco di downgrade che potrebbe aggirare l’autenticazione basata su FIDO, esponendo gli obiettivi a minacce “adversary-in-the-middle” (AiTM).
Queste alcune tra le principali evidenze riscontrate dai ricercatori:

• Utilizzando un “phishlet” dedicato, gli attaccanti potrebbero effettuare il downgrade dell’autenticazione basata su FIDO a metodi meno sicuri, esponendo gli obiettivi a minacce “adversary-in-the-middle” (AiTM).
• Questo attacco sfrutta una lacuna apparentemente insignificante nella funzionalità, dove non tutti i browser web supportano il metodo di autenticazione “passkey” (FIDO2) con Microsoft Entra ID, consentendo agli attaccanti di falsificare un “user agent” non supportato e forzare un metodo di autenticazione meno sicuro.
• Sebbene siano tecnicamente possibili, i ricercatori di Proofpoint non hanno ancora osservato attacchi di downgrade dell’autenticazione FIDO “in the wild”, con l’attenzione degli attaccanti che rimane su account con altri metodi MFA o senza metodi MFA.

Nonostante la mancanza di un utilizzo osservato da parte degli attori delle minacce, Proofpoint considera gli attacchi di downgrade dell’autenticazione FIDO come una significativa minaccia emergente. Questi attacchi potrebbero essere condotti da avversari sofisticati e APT (in particolare attori sponsorizzati da stati o hacker tecnicamente esperti).

Sottolineano i ricercatori Proofpoint: “È importante notare che le “passkey” basate su FIDO restino un metodo di autenticazione altamente raccomandato per proteggersi dal phishing di credenziali prevalente e dalle minacce di account takeover (ATO).”

Guardando al futuro, man mano che cresce la consapevolezza dei rischi posti dal phishing AiTM e sempre più organizzazioni adottano metodi di autenticazione “resistenti al phishing” come FIDO, gli attaccanti potrebbero tentare di evolvere le tattiche, le tecniche e le procedure (TTP) esistenti incorporando il downgrade dell’autenticazione FIDO nelle loro “kill chain”.

L'articolo Attacchi di downgrade FIDO, nuova minaccia per l’autenticazione proviene da il blog della sicurezza informatica.

Un’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’identificativo CVE-2025-43300, risulta essere sfruttata attivamente in attacchi estremamente mirati, come confermato.

Le patch urgenti, rilasciate come iOS 18.6.2 e iPadOS 18.6.2, risolvono una vulnerabilità di danneggiamento della memoria che potrebbe essere innescata dall’elaborazione di un file immagine creato appositamente.

Il problema principale è una scrittura fuori dai limiti all’interno del framework ImageIO, un componente fondamentale per il modo in cui i sistemi operativi Apple gestiscono e riproducono vari formati di immagine.

Secondo l’avviso di sicurezza di Apple, l’azienda è “a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici“.

Inviando un’immagine dannosa, un aggressore potrebbe scrivere dati al di fuori del buffer di memoria previsto. Questo tipo di difetto di corruzione della memoria è un vettore classico per ottenere l’esecuzione di codice arbitrario, consentendo potenzialmente a un aggressore di assumere il pieno controllo di un dispositivo interessato.

Questo schema di attacco è simile ai precedenti exploit zero-click utilizzati per implementare strumenti di sorveglianza come Pegasus, in cui le vittime vengono compromesse semplicemente ricevendo un file tramite un’app di messaggistica, senza alcuna interazione da parte dell’utente.

Le patch rilasciate da Apple coprono::

• iPhone XS e successivi
• iPad Pro (13 pollici, 12,9 pollici di terza generazione e successive, 11 pollici di prima generazione e successive)
• iPad Air di terza generazione e successivi
• iPad di settima generazione e successivi
• iPad mini di quinta generazione e successivi

Lo sfruttamento attivo di CVE-2025-43300 lo trasforma da un rischio teorico a un pericolo chiaro e attuale per gli utenti di dispositivi non aggiornati.

L'articolo Spyware sotto tiro! Apple rilascia una patch critica per uno 0day usato su iOS e iPadOS proviene da il blog della sicurezza informatica.

Read about EDRi’s work in 2024 to build an inclusive and equitable digital world. Last year, we witnessed massive changes in the political realm after the European elections in June, and resisted growing attacks on important digital rights legislation while staying rooted in our long-term vision for digital futures.

The post EDRi Annual Report 2024: Reinforcing digital rights and justice in uncertain times appeared first on European Digital Rights (EDRi).

Un esperto di sicurezza informatica ha individuato falle zero-day che coinvolgono undici noti gestori di password, mettendo a rischio potenzialmente decine di milioni di utenti per il furto di credenziali con un semplice clic malevolo.

Un’innovativa strategia di attacco, conosciuta come \”DOM-based Extension Clickjacking\”, segna un avanzamento sostanziale rispetto ai metodi tradizionali di clickjacking online.

La ricerca, condotta dall’esperto di sicurezza Marek Tóth, rivela che gli aggressori possono sfruttare queste vulnerabilità per rubare dati di carte di credito, informazioni personali, credenziali di accesso e persino codici di autenticazione a due fattori da utenti ignari.

Catena di attacco di estensione basata su DOM

Diversamente dagli approcci tradizionali, che colpiscono le applicazioni web attraverso iframe non visibili, questa strategia altera gli elementi dell’interfaccia utente inseriti dalle estensioni del gestore di password nelle strutture DOM delle pagine web, facendoli diventare non visibili ma ancora cliccabili.

Quando gli utenti incontrano elementi apparentemente legittimi, come banner di consenso ai cookie o domande CAPTCHA su siti web compromessi, un singolo clic può attivare la compilazione automatica di moduli nascosti con i dati sensibili memorizzati.

L’attacco funziona creando script dannosi che nascondono gli elementi dell’interfaccia utente dell’estensione tramite manipolazione. JavaScript , in particolare tramite regolazioni dell’opacità e tecniche di sovrapposizione DOM. La ricerca approfondita di Tóth ha testato undici noti gestori di password, tra cui leader del settore come 1Password, Bitwarden, LastPass, Dashlane, Keeper e altri.

I risultati sono stati allarmanti: tutti i gestori di password testati erano inizialmente vulnerabili ad almeno una variante della tecnica Extension Clickjacking basata su DOM. Le vulnerabilità interessano circa 40 milioni di installazioni attive sulle piattaforme Chrome Web Store, Firefox Add-ons ed Edge Add-ons.

Sei gestori di password su nove testati erano vulnerabili all’estrazione dei dati delle carte di credito, mentre otto su dieci potevano essere sfruttati per esfiltrare informazioni personali memorizzate.

Forse la cosa più preoccupante è che dieci gestori di password su undici erano soggetti a furto di credenziali, compresi i codici TOTP (Time-based One-Time Password) utilizzati per l’autenticazione a due fattori.

L'articolo LastPass, 1Password e Keeper sotto tiro! Rilevati diffusi bug 0day e milioni di utenti a rischio proviene da il blog della sicurezza informatica.

This document pool contains updates and resources on the EU's proposed 'Regulation laying down rules to prevent and combat child sexual abuse' (CSA Regulation)

The post CSA Regulation Document Pool appeared first on European Digital Rights (EDRi).

Any serious journalist would tell you that it’d be journalistic malpractice for a local journalist not to report that a prominent public official listed a boarded-up house as his official residence in order to claim eligibility for his position. But that’s not how John Sarcone III, acting U.S. attorney for the Northern District of New York, sees it.

He was reportedly “incensed” by reporting from the Times Union of Albany and ordered his subordinates to remove it from his office’s media list. In response, Freedom of the Press Foundation (FPF), Demand Progress Education Fund, and Reinvent Albany have filed a complaint against Sarcone with New York’s Attorney Grievance Committee.

As the complaint explains, “Sarcone is the chief legal officer charged with enforcing federal law in a district that covers over 30,000 square miles and is home to 3.4 million people. And yet he either does not know or does not care about the ‘practically universal agreement that a major purpose of [the First] Amendment was to protect the free discussion of governmental affairs.’”

The complaint requests that the Committee open an investigation to determine whether Sarcone's conduct violates New York’s Rules of Professional Conduct, and exercise its power to impose sanctions, which can include disbarment.

FPF’s Director of Advocacy Seth Stern said: “All licensed attorneys — but especially top prosecutors entrusted to protect the public, not just their clients — should know better than to retaliate against newspapers for basic public-interest journalism. Sarcone has repeatedly abused his office in his brief tenure. The committee should ensure he can no longer undermine the Constitution and embarrass the legal profession.”

Demand Progress Education Fund Special Advisor Kate Oh stated: “A prosecutor who so flagrantly disregards his ethical and professional obligations and tramples over the First Amendment rights of the press should not be empowered to enforce the laws of our nation. Sarcone’s professional history is littered with red flags and must be investigated. No less than the public’s faith in the rule of law is at stake.”

Reinvent Albany Executive Director John Kaehny said: “With great power comes great responsibility, and U.S. Attorneys like John Sarcone are among the most powerful people in America. Unfortunately, Mr. Sarcone has grossly abused his authority and betrayed the public trust. Mr. Sarcone's flagrant misuse of his authority to retaliate against the Albany Times-Union and his repeated, well-documented dishonesty are completely unacceptable, unethical, and violate basic democratic norms and rules of professional conduct. The Times Union is one of the most respected newspapers and civic institutions in New York, and it's chilling to see it attacked by an unethical U.S. Attorney with a personal grievance.”

You can read the complaint here or below. If you’d like further comment, please contact media@freedom.press or eric@demandprogress.org ,or info@reinventalbany.org.

freedom.press/static/pdf.js/we…

freedom.press/issues/rights-gr…

Le gazzette amano presentarsi come espressioni di "libera informazione" e puntello della democrazia. Questo, a sentire chi ci scrive. In concreto, e da anni, sono invece alle prese con tirature da ridimensionare, vendite a rotta di collo, bilanci tenuti in piedi dal Dipartimento dell'Editoria (sempre che basti), e linee editoriali surreali dove la gara a chi ospita le opinioni e gli intenti più sporchi anche dal punto di vista morale pare non avere seri limiti.
A tutto questo nel mese di agosto si aggiunge anche una costante scarsità di argomenti.
Nel 2025 i foglietti della costa toscana hanno chiuso i numeri dedicando spazio a Leonardo Pistoia. Che sarebbe un ventunenne di Viareggio cui piace <i>quella politica che si regge su ideali e principi anche se molto rara</i>, o almeno così garantisce la sua autoschedatura sul Libro dei Ceffi (qui su Archive).
Gli ideali e i principi che apprezza gli hanno fatto guadagnare qualche ora di relativa notorietà come organizzatore di passeggiate serali antidegrado, come fanno da svariati anni i minicandidati a qualche consultazione elettorale.

Non mi fermo. Dopo Ferragosto torneremo in strada per la Camminata per la Sicurezza.
Viareggio – Torre del Lago
La data precisa verrà comunicata a breve, ma una cosa è certa: questa volta dobbiamo essere ancora di più.
La sicurezza non è un privilegio, è un diritto. E per difenderlo dobbiamo esserci tutti, uniti, determinati e visibili.
Porta amici, familiari, colleghi: ogni persona conta, ogni passo è importante.
Insieme possiamo fare la differenza.
#CamminataPerLaSicurezza #Viareggio #TorreDelLago #UnitiperlaSicurezza #NonMiFermo

Da questo punto di vista Viareggio è un po' vivace: si vede che vi esistono ambienti sociali favorevoli ai guitti dell'"occidentalismo" più abietto. A testimonianza della serietà dell'intento anche l'esistenza di una pagina personale su Wikipedia, presente in Google ma precipitosamente cancellata da qualcuno, probabilmente convinto che il giovane Pistoia per adesso non abbia fatto nulla che gli valga l'inclusione tra le grandi figure di interesse enciclopedico come Albert Einstein o Alvaro Vitali.
L'impegno gli sarebbe costato anche un'aggressione, denunciata con toni da sceneggiatura.

DENUNCIA PRESENTATA
A chi ancora parla, insinua o mette in dubbio: ecco la risposta.
Ho sporto denuncia ufficiale per lesioni personali aggravate e all’interno c’è riportato nero su bianco anche l’avvertimento che mi è stato dato da chi mi ha aggredito.
Non mi farò intimidire, non mi fermerò e non mi piegherò davanti a chi vuole screditarmi o fermare questa battaglia.
La verità è scritta negli atti ufficiali, e chi continua a diffamare dovrà assumersene la responsabilità.
Questa non è solo una mia lotta: è la lotta di tutti noi per una città sicura, libera dalla paura e dal controllo dei criminali.
Io non mollo. Anzi, vado avanti con ancora più forza.
#Verità #Giustizia #IoNonMollo #TorreDelLago #Sicurezza

Una cosa che avrebbe rafforzato la sua determinazione e che gli ha attirato qualche attestazione di solidarietà (qui su Archive).
Invece dopo Ferragosto Leonardo Pistoia -che secondo le gazzette non svolgerebbe alcuna attività lavorativa- è stato arrestato come un indesiderabile qualsiasi, e non certo per aver organizzato un colpo di Stato.
Sequestro di persona, maltrattamenti in famiglia, lesioni personali. Il gazzettaio riferisce anche delle dichiarazioni della sua vittima, sottoposta da mesi a continue violenze psicologiche, minacce, danneggiamenti, percosse e a un'aggressione fisica sotto la minaccia di un coltello e di un manganello effettivamente reperiti dalla gendarmeria.
Al momento in cui scriviamo è verosimile che ad attendere Leonardo Pistoia sia un futuro piuttosto difficile, e non è nel nostro stile spingerci oltre con l'infierire sui motivi che lo hanno fatto associare alla casa circondariale di competenza. Motivi che probabilmente non sono nemmeno estranei alla sua familiarità con l'ambiente di Torre del Lago, una località che ha il pregio di attirare frequentatori le cui propensioni hanno senz'altro il merito di non prestarsi a equivoci.
Tanto basti per adoperarsi nei modestissimi limiti del possibile a far sì che Leonardo Pistoia abbia qualche difficoltà ad avvalersi del diritto all'oblio per i prossimi cinque, dieci, venti o trent'anni. Internet ha una memoria più che discreta, cosa che chi apprezza la politica che si regge su ideali e principi (anche se molto rara) tiene senz'altro in buona considerazione.

Oltre che su Poliverso/Friendica questo scritto viene pubblicato anche su Blogspot e su iononstoconoriana.com.

Post scriptum. Il 4 dicembre 2025 si viene a sapere che Leonardo Pistoia, che aveva fatto il pieno di accuse, ha pensato di chiudere la questione patteggiando un anno e otto mesi. In questo modo eviterà che mezzo mondo, nell'epoca dei panni lerci lavati allegramente in piazza, venga a conoscenza di ulteriori particolari su come passano il tempo certi alfieri della legalità. Dovrà frequentare un corso per uomini maltrattanti e da qualche accenno fatto dalle gazzette si capisce che deve anche essersi liberato da una certa quantità di denaro.

Quante volte abbiamo usato Google per tradurre testi in italiano, o dall'italiano in altre lingue?
Il vero problema è che ormai nell'immaginario collettivo sia quello l'unico servizio gratuito e immediato per avere traduzioni di qualità... invece è molto semplice trovare un'alternativa!

Nelle immagini (le prime quattro nel post, le successive in questo commento) trovate un confronto tra i traduttori esaminati (incluso Google Traduttore per riferimento) basato sullo stesso testo in tedesco.

1) Kagi traduttore
Una delle due componenti gratuite della suite Kagi, che offre un motore di ricerca a pagamento "senza pubblicità e senza sorveglianza", strumenti per la privacy e funzioni IA che promettono di essere rispettose ed efficaci.
(Stanno anche sviluppando un nuovo browser non basato su motori preesistenti, il che sembra un'ottima notizia vista la situazione di monopolio di Chrome e le ultime derive di casa Mozilla...)
Il traduttore è sicuramente uno dei migliori in circolazione e permette anche di tradurre siti web e di inviare un collegamento alla pagina già tradotta. (La traduzione è migliore di quella fornita internamente dai browser, come per es. Brave)
Le lingue sono numerosissime e includono moltissime lingue locali o regionali (dal papiamento al siciliano...)
Non è richiesto altro che di spuntare una casella per verificare di non essere un bot. L'ascolto del testo è riservato agli abbonati.

2) DeepL traduttore
Traduzioni di qualità anche superiore a Kagi, numero di lingue molto minore almeno nella versione gratuita (35) e l'assistente alla scrittura AI incluso tra gli strumenti gratuiti senza registrazione (ma non la traduzione di pagine web). La piattaforma è specializzata negli strumenti linguistici e offre piani a pagamento per privati e aziende.

3) Reverso
Già noto per gli ottimi dizionari online, anche Reverso fornisce un servizio di traduzione automatica di testi. Anche la possibilità di riformulare la traduzione con l'IA e l'ascolto dei testi con voce sintetica sono disponibili gratuitamente e senza registrazione. Numerosi servizi linguistici nella versione premium. La traduzione è buona (anche se nel mio caso ha ignorato completamente l'ultima frase...)

4) Quillbot
Quillbot fornisce servizi IA avanzati per la gestione dei testi, tra cui quelli per riconoscere testi generati da IA o plagiati, per "umanizzare" testi generati o creare citazioni. Il traduttore è gratuito e senza registrazione e dà la possibilità di riformulare la traduzione più volte (la qualità, tuttavia, non mi sembra eccelsa).

5) Lingva translate
Tra i progetti open source, sicuramente quello che dà traduzioni migliori (ufficialmente è un frontend per Google Traduttore, perciò utilizza il motore di Google in modo anonimo, tuttavia la traduzione fornita è molto diversa da quella di Google - probabilmente non può utilizzarne le funzionalità più avanzate).
È possibile ascoltare il testo originale e il testo tradotto con una voce sintetizzata.
Essendo un frontend, non è comunque un traduttore indipendente.
Istanza ufficiale: lingva.ml/

6) LibreTranslate
L'unica soluzione totalmente open source e indipendente.Attualmente è limitato a 6 lingue e purtroppo la qualità della traduzione (almeno in italiano) è piuttosto scadente...
È possibile anche tradurre direttamente file in diversi formati.
Istanza italiana principale (gestita da Devol): opentranslate.devol.it/
Frontend alternativo con più lingue disponibili: translate.eu

#DeGoogle #nogoogle #degafam #alternative #traduttori #googletranslate

Tiziano :friendica:

2025-08-21 17:11:22