For better or worse, the fundamental design of guitars has remained familiar since they electrified around a century ago. A few strings, a fretboard, and a body of some sort will get you most of the way there for an acoustic guitar, with the addition of electromagnetic pickups and wiring for electric variants. However, technology has advanced rapidly in the last 100 years outside the musical world, so if you want to see what possibilities lie ahead for modernizing guitars take a look at the Cyberbass created by [Matteo].

The guitar starts its life as many guitars do: with a block of wood. One of the design goals was to be able to use simple tools to build the guitar, so the shape of the instrument was honed with a Japanese hacksaw and the locations for the pickups and other electronics were carved out with chisels.

The neck of the guitar was outsourced since they take some pretty specialized tools to build, so simply bolting it to the body takes care of that part of the build, but [Matteo] had a few false starts setting the bridge in the exact location it needed to be.

Luckily he was able to repair the body and move the bridge. With the core of the guitar ready, it was on to paint and then to its custom electronics. [Matteo] built in not only a set of pickups and other common electric guitar parts but also integrated a synth pedal into the body as well as including a chromatic tuner.

With everything assembled and a few finishing touches added including a custom-engraved metal signature plate, the Cyberbass is ready to go on tour. [Matteo] learned a lot about guitar building in general, as well as a few things about electronics relating to musical instruments (including how expensive tuners work just as well as cheap ones).

youtube.com/embed/EMKPP32UIzQ?…

hackaday.com/2025/02/04/cyberb…

When live-action role playing, or LARPing, one must keep fully in tune with the intended era. That means no digital watches, and certainly no pulling out your fantastic rectangle from the future to find out if you’re late picking up the kid.

So what do you do when you’re LARPing at 2 PM, but you gotta be back at the soccer practice field by 5 PM? Well, you fashion a period-appropriate timepiece like [mclien]’s 17 o’ Clock. Visually, it’s about as close to a pocket sundial as you can get. It’s deliberately non-connected, and its only function is to tell the time.

But how? If you visually divide the watch across the top and bottom, you get two sets of Roman numerals. The top half handles the hour, and the bottom half the minute. [mclien] started designing this in 2018 and picked it back up in the second half of 2024.

Back to the non-connected part. The only permanently-powered part of the project is a high-precision real-time clock (RTC). The rest uses a power latching circuit, which turns on the Adafruit Trinket M0 to show the time using a NeoPixel ring. Be sure to check out the awesome project logs with fantastic pictures throughout.

Looking for a smarter pocket watch? It’s time you built one yourself. And speaking of pocket sundials…

hackaday.com/2025/02/04/what-i…

Microsoft ha recentemente rilasciato un avviso di sicurezza per CVE-2025-21396, una vulnerabilità critica di bypass dell’autenticazione che potrebbe consentire agli attaccanti di falsificare credenziali e ottenere accesso non autorizzato agli account Microsoft. La falla, classificata con il codice CWE-290 (Authentication Bypass by Spoofing), colpisce i meccanismi di autenticazione che si basano su metodi di validazione insufficienti o difettosi.

Questa vulnerabilità rappresenta un rischio concreto per le organizzazioni che si affidano a controlli di autenticazione basati su IP o DNS, entrambi facilmente manipolabili da attaccanti esperti.

Dettagli del CVE-2025-21396

Il problema nasce da meccanismi di autenticazione mal progettati che non convalidano in modo robusto le richieste in ingresso. Gli exploit possono includere:

• IP Spoofing: Un attaccante falsifica il proprio indirizzo IP per impersonare un sistema attendibile.
• DNS Spoofing: Veleno nella cache DNS per far apparire un dominio controllato dall’attaccante come legittimo.
• Manipolazione delle richieste: Attacco alla logica di validazione nei protocolli applicativi.

Esempi di Attacco

1. IP Spoofing (Java)

Un attaccante che riesce a falsificare il proprio IP può facilmente aggirare questo controllo.

2. DNS Spoofing (C)

Un attaccante potrebbe avvelenare la cache DNS per ingannare il sistema e ottenere accesso fraudolento.

Mitigazione e contromisure

Microsoft ha rilasciato patch per risolvere il problema alla radice. Tuttavia, oltre all’installazione degli aggiornamenti, le organizzazioni dovrebbero adottare misure di sicurezza proattive:

• Applicare gli aggiornamenti di sicurezza: Verificare regolarmente il Microsoft Security Update Guide.
• Evitare autenticazioni basate su IP/DNS: Preferire metodi più sicuri come:
  
  • Autenticazione a più fattori (MFA)
  • Token crittografici per la validazione dell’identità
  • Mutual TLS per connessioni sicure

  
  

• Monitorare il traffico di rete: Utilizzare sistemi di rilevamento intrusioni (IDS) per identificare pacchetti sospetti o comportamenti DNS anomali.
• Rafforzare l’infrastruttura DNS: Implementare DNSSEC per ridurre il rischio di spoofing.
• Abilitare il logging avanzato: Mantenere registri dettagliati delle richieste di autenticazione per un’analisi forense.

Microsoft ha dichiarato che “la vulnerabilità è stata completamente mitigata e non è richiesta alcuna azione per gli utenti del servizio”. Tuttavia, la trasparenza nel divulgare questa minaccia sottolinea l’importanza di un approccio preventivo alla sicurezza informatica. Gli attaccanti sono sempre alla ricerca di nuovi punti deboli, e CVE-2025-21396 dimostra ancora una volta che la sicurezza non è mai statica, ma una continua corsa contro il tempo.

L'articolo Un Bypass dell’autenticazione espone gli account Microsoft agli attaccanti remoti! proviene da il blog della sicurezza informatica.

If you watch the New Year’s festivities from New York, you know that they mark midnight with the dropping of a big, gaudy ball. You might assume this was just an arbitrary gimmick, but it turns out dropping balls has a place in the history of timekeeping, especially for ships at sea. The New York ball doesn’t work precisely the same, but it was clearly inspired by an ancient method of indicating the time.

Apparently, even the ancient Greeks used ball dropping to indicate time. But the modern ball got its start with [Captain Robert Wauchope], who installed one at Portsmouth, England, in 1829. The Royal Observatory in Greenwich got one in 1833, which you can see working in the video below.

youtube.com/embed/1JnLuQxNxaw?…

The Problem to Solve

The time ball in Greenwich (photo by [ChrisO] CC-BY-SA-3.0)Ships need accurate timing for navigation purposes, so when you made harbor, you wanted to set your clocks in case they were a bit off. But if you were far from the nearby town, you might not be able to hear a clocktower bell or a cannon shot at noon. Even if you did, the speed of sound could be significant. The signal needs to be something visible and preferably something that can indicate that it is “almost” time to get people’s attention.

You want something tall so it can be easily seen. You also need something that clearly indicates the exact moment of the time mark, so that precludes something like raising or dropping a signal flag.

The Solution

[Wauchope’s] idea was to put a tower with a ball near a solar observatory with an accurate clock. Every day at noon, someone would sight the sun and determine the exact moment of noon, setting the accurate clock.

Then, at 1300, an hour later, you’d drop the ball. Everyone could set their clock to coincide with the ball drop. The moment the ball started falling was 1300.

About 1255, you’d raise the ball halfway. Around 1258, it would go to the top of the rod going through the center of the ball. The release would be at exactly 1300.

The American Take

The Boston Time Ball in 1881 (Public Domain)
Well, that’s not usually true in the United States. The first ball in the US was at the United States Naval Observatory in 1845. They would drop their ball at noon, exactly.

The Times Square ball first dropped on January 1, 1908. However, in another American difference, the stroke of midnight is when the ball reaches the bottom, not the instant it starts to drop.

End of the Ball

Of course, radio time signals made this technology obsolete. Still, there are about sixty balls still around, including many in Australia, the United Kingdom, and several scattered in other parts of the world. In the United States, you can find time balls at the Naval Observatory, the New York City Titanic Memorial, and the Plymouth Light in Massachusetts.

The Greenwich Time Ball located at the Royal Observatory in London still drops its ball every day at 1300, as you saw in the earlier video. The guide at Greenwich mentions that the expression “on the ball” relates to time balls, but we’ve also read it is a sports idiom, so we aren’t sure about that. Surprisingly, it isn’t the tallest Time Ball in England. That honor goes to the one in Hull, which, as you can see below, was recently restored and is once again operational. You can also watch a deep dive into the history of that particular ball.

youtube.com/embed/XKTvD1OcYbI?…

Ships at sea have driven our time-keeping technology in many ways. Not to mention things like GPS or LORAN.

Featured image: “Working New Years Eve Social Media for NBC” by Anthony Quintano. Thumbnail: “Newyearseve loz batrch” by Alex Lozupone.

hackaday.com/2025/02/04/tellin…

È stato rilasciato l’Android Security Bulletin per il mese di febbraio 2025: al suo interno, gli aggiornamenti per 46 vulnerabilità di cui una che risulta essere già attivamente sfruttata in attacchi mirati. Ecco tutti i dettagli e i consigli per mettere in sicurezza i propri dispositivi mobile

L'articolo Aggiornamenti Android febbraio 2025, corretta una vulnerabilità sfruttata attivamente: i dettagli proviene da Cyber Security 360.

Le botnet sono nate come reti di elaboratori usati per gestire e mantenere attivi servizi Web. I criminal hacker le hanno trasformate in reti di computer compromessi da usare per eseguire attività fraudolente. Ecco le giuste contromisure per rilevarle e mettere al sicuro la rete e i PC aziendali

L'articolo Botnet: cosa sono, come funzionano, i consigli per proteggere la rete aziendale dagli zombie del Web proviene da Cyber Security 360.

A well-known secret in the world of open source software is that many projects rely on donated hosting for everything from their websites to testing infrastructure. When the company providing said hosting can no longer do so for whatever reason, it leaves the project scrambling for a replacement. This is what just happened for Alpine Linux, as detailed on their blog.
Modern-day infrastructure, as visualized by XKCD. (Credit: Randall Munroe)
Previously Equinix Metal provided the hosting, but as they are shutting down their bare-metal services, the project now has to find an alternative. As described in the blog post, this affects in particular storage services, continuous integration, and development servers.

As if that wasn’t bad enough, Equinix was also providing hosting for the Freedesktop.org project. In a post on their GitLab, [Benjamin Tissoires] thanks the company for supporting them as long as they have, and details the project’s current hosting needs.

As the home of X.org and Wayland (and many more), the value of Freedesktop.org to the average user requires no explanation. For its part, Alpine Linux is popular in virtualization, with Docker images very commonly using it as a base. This raises the uncomfortable question of why such popular open source projects have to depend on charity when so many companies use them, often commercially.

We hope that these projects can find a new home, and maybe raise enough money from their users to afford such hosting themselves. The issue of funding (F)OSS projects is something that regularly pops up, such as the question of whether FOSS bounties for features are helpful or harmful.

hackaday.com/2025/02/04/freede…

Nel loro ultimo post sul canale Telegram “Pro-Palestine Hackers”, il gruppo DXPLOIT – parte di una rete più ampia di hacker a sostegno della causa palestinese – afferma di aver preso di mira due siti italiani, portandoli al blocco.

Questo episodio sottolinea come ancora una volta le tensioni internazionali che si riflettano sempre più nel cyberspazio, colpendo aziende locali che, sebbene lontane dai conflitti geopolitici, diventano bersagli simbolici in questa nuova forma di protesta digitale.

L’immagine mostra un post di un canale Telegram denominato “Pro-Palestine Hackers” con oltre 5.200 iscritti. Il messaggio, datato 3 febbraio, annuncia che il sito web di Granda Gourmet, Italia, è stato attaccato e reso inaccessibile dal gruppo hacker DXPLOIT.

Va notato che al momento mentre scriviamo questo articolo, non risulta più attivo il deface pubblicizzato dal gruppo di hacktivisti, ma risponde una pagina di default del sito.

Il post include un testo in inglese e in arabo, in cui si afferma che il gruppo si considera la “voce dei dimenticati”, difensori del cyberspazio contro l’oppressione e promotori di un Islam pacifico. Tuttavia, il loro attacco dimostra un uso aggressivo delle capacità cyber per diffondere il loro messaggio politico e religioso.

Il post fornisce anche due link: uno al sito della vittima dell’attacco e un altro a Zone-H, una piattaforma che monitora defacement e attacchi informatici.

Inoltre nella giornata di oggi, anche il sito exclusivam.it/index.php è stato preso di mira dagli hacktivisti ma anche questo ad ora sembra sia stato ripristinato.

Questa informazione è stata acquisita attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

L'articolo Gli Attacchi Pro-Palestina da parte del gruppo DXploit continuano a colpire l’Italia proviene da il blog della sicurezza informatica.

A few weeks ago we brought you news of a new palmtop computer for hackers, powered by the new Espressif ESP32-P4 application processor. The Tanmatsu (Japanese for “Terminal”) is a compact handheld device with a QWERTY keyboard and an 800×480 DSI display, and while it currently exists at the final prototype stage there is a pre-order page upon which you can reserve an early production model for yourself. We’ve been lucky enough to be invited to give one a close-up inspection, so it was time to hot-foot it on the train to a Dutch hackerspace in order to bring you a preview.

A Little History, And First Impressions

Recesses in the case fit well against the hands.
Before looking at the device, it’s time for a little history. The Tanmatsu has its origin in badge.team, the Netherlands-based group that has produced so many European event badges over the years, and it was destined to eventually become the badge for the upcoming WHY2025 hacker camp. As sometimes happens in any community there has been a significant difference of opinion between the event orga and the badge.team folks that it’s inappropriate to go into here, so now it exists as a standalone project. It’s destined to be open-source in its entirety including hardware and software (and we will hold them to that, never fear), but because of the events surrounding its conception the full repositories will be not be made public until some time late in the summer.

Picking the Tanmatsu up and holding it, it’s a rectangular slab a bit larger and thicker than a CD case with that QWERTY keyboard and display on its front face, an array of ports including an SMA socket for a LoRA antenna on its sides, and an expansion connector on its rear. It has a sandwich construction, with a PCB front face, a 3D printed spacer, the PCB itself, and a 3D printed back cover all held together with a set of screws. The recesses on its bottom edge and the lower halves of the sides locate neatly with fingers and thumbs when it’s held in two hands for two-thumb typing. The keyboard is a silicone moulding as is common on this type of device, and while the keys are quite small it was not difficult to type on it. The display meanwhile feels of much higher quality than the SPI parts previously seen on badges.

A Hardware Quick Tour

All the main components are on the rear of the PCB.
Unscrewing the rear cover, and the circuitry is revealed. We must apologise for only having a mobile phone to hand to take photographs, but from the accompanying image you should be able to identify the main parts. In the centre of the board is the P4 processor, above it is an ESP32-C6 which does the job of a network card. To the left of that is an Ai-Thinker Ra-01SH LoRA module, and to the right is the power circuitry. Mid-right is a USB hub chip for the USB-A and USB-C sockets, and the microcontrollers. Below the P4 is an expansion connector, to the left of which is an audio DAC and amplifier with 3.5mm socket, and to the right of which is a CH32 microcontroller. This last component serves the keyboard, and performs housekeeping tasks for the device. The peripheral connectors aside from those already mentioned include a PMOD that doubles as JTAG and SAO, a micro SD socket, a Qwiic connector, and a camera connector that is compatible with certain Raspberry Pi cameras. Finally, there are three physical buttons on the left hand side. The battery, below the bottom of the photo, is the usual LiPo pouch cell with built-in protection, and it sits under the keyboard. On the front of the board next to the screen are some addressable LEDs. Having seen several earlier prototypes and now having held this production-ready model, we can say that the accumulated experience of the team behind it in making event badges really shows. It feels solid and ready for manufacture, and looking at the component choices we don’t find ourselves concerned by inappropriate connectors or annoying layouts.

The expansion port on the back is intended to foster an ecosystem of clip-on add-ons, with early signs of boards such as a Flipper Zero style RF hacking device and a companion board with interfaces for talking to computers in data centres being in the works. It is said that boards with MIDI, a high quality audio codec, and a camera, will follow.

What About The Software?

The GUI interface for the name tag editor.
The best hardware in the world is of limited use without software, so it’s time to look at this side of the device, The team behind the Tanmatsu have a history of producing badges with a common operating system platform supporting an app infrastructure, and this one continues that legacy.

It’s a new version of their OS for the P4, and we understand that as with the MCH2022 badge OS it is adapted from the AppFS system originally written for the PocketSprite game console, with the addition of a GUI launcher and an open source badge.team app store. It will support apps written in high level scripting languages such as MicroPython, as well as native apps compiled for the P4. The device we were handling had the OS with GUI and launcher, and a single name badge app installed. On an earlier prototype though, we saw work in progress on more useful apps, and even an x86 PC emulator running Windows 3.0. It’s clear that the OS is being designed for a productive pocket computer rather than a toy badge, and this is something we’ll give a more detailed look in the future.

In Conclusion

Having given the Tanmatsu a detailed physical examination and seen the operating system as it exists today, our conclusion is that it’s a device which is physically well-designed and ready for manufacture, and like the badges produced in the past by the same team, it shows every indication of being delivered on time and with working software. As we said earlier it will be fully open-sourced in the summer and we will hold them to that, and thus it’s a device that we’re quite excited about.

As a general purpose hacker’s palmtop computer it occupies an interesting space between devices such as the Flipper Zero or existing event badges, and Linux-based devices such as the uConsole or Raspberry Pi based machines. We think it wins handsomely over the Linux devices on price, so for anyone who wants the extra power of the full-fat OS the question becomes whether that convenience is worth the expenditure. If you want one they can be pre-ordered for €99.17 (about $102) if you are outside the EU and don’t have to pay sales tax, or €120 with the tax included for EU customers. We’ve got one on order, and we’ll being you our full review when it lands.

hackaday.com/2025/02/04/a-clos…

Si chiama Aquabot la nuova cyber minaccia in grado di sfruttare una vulnerabilità nei telefoni Mitel, consentendo ai criminal hacker di prendere il controllo completo dei dispositivo e usarli per condurre attacchi DDoS. Ecco le misure di prevenzione e mitigazione

L'articolo Aquabot, il malware che prende di mira i sistemi telefonici VoIP: come difendersi proviene da Cyber Security 360.

Norton, marchio consumer di sicurezza informatica, ha pubblicato il suo Consumer Cyber Safety Report – Online Dating Edition 2025. Il report ha intervistato gli italiani per esplorare il loro rapporto con le app di incontri e la loro consapevolezza della sicurezza personale.

Il 24% degli italiani intervistati utilizza abitualmente app di incontri, trascorrendovi in media quasi sei ore alla settimana. Tra gli attuali utenti di app di dating in Italia, il 30% cerca persone per incontri casuali e senza legami, mentre quasi un quarto (24%) cerca di trovare un partner serio a lungo termine.

Attenzione ai segnali d’allarme: Profili sospetti e truffe amorose

Molti utenti hanno probabilmente intenzioni genuine, ma c’è un rischio significativo di incontrare profili fraudolenti su queste app. Visi perfetti? Potrebbero essere generati dall’intelligenza artificiale. Rifiuto di fare videochiamate o inviare messaggi vocali? Mancanza di interazione diretta? Sono segnali d’allarme da tenere in considerazione.

Secondo il report di Norton, il 61% degli utilizzatori abituali intervistati si imbatte in profili o messaggi sospetti almeno una volta alla settimana, e il 23% è stato vittima di una truffa sulle app di incontri, il 48% è stato vittima di una truffa sentimentale e il 27% è stato vittima di catfishing. Le conseguenze possono essere gravi: gli utenti delle app che sono stati vittime di una truffa in queste app hanno riportato perdite finanziarie medie di 4.580,47 euro nell’ultimo anno, con la perdita più alta riportata di 150.000 euro. I truffatori utilizzano diverse tattiche per ingannare gli attuali utenti delle app di incontri; coloro che sono stati vittime di una truffa riferiscono di essere stati ingannati da truffe romantiche (48%), catfishing (27%), truffe di eredità (17%), falsi siti di incontri (17%) e sextortion (16%).

Oltre alle truffe, gli utenti di app di dating online intervistati in Italia hanno ammesso di aver distorto la verità sui loro profili, sia attraverso l’intelligenza artificiale che con altri mezzi. Oltre un quarto (26%) ammette di aver fornito un’età falsa sul proprio profilo e il 61% ha ricevuto un’età falsa da qualcun altro. Coloro che attualmente utilizzano le app di dating si dichiarano aperti all’aiuto dell’intelligenza artificiale: il 62% la userebbe per scrivere una frase per approcciare, il 50% per scrivere un testo di chiusura del rapporto, il 43% per migliorare le proprie foto e il 40% addirittura per andare agli appuntamenti virtuali al posto loro come proxy.

Gli italiani si ribellano: Cresce la consapevolezza dei rischi

Fortunatamente, non tutti sono ignari dei pericoli: il 95% degli attuali utenti italiani di app di incontri prende precauzioni prima di incontrare di persona un potenziale corteggiatore conosciuto online. Gli intervistati hanno riferito di aver adottato le seguenti misure:

• Cercare la persona sui social media o su Internet (42%)
• Telefonata con la persona (37%)
• Fare una videochiamata con la persona (37%)
• Condividere la propria posizione con un familiare o un amico prima di andare all’incontro (24%)
• Informare un membro della famiglia o un amico dei loro piani prima dell’incontro (19%)

Tra questi intervistati, Tinder è stato giudicato la piattaforma più sicura (65%), mentre Happn è stato considerato il meno sicuro (19%). Tuttavia, le truffe rimangono un problema persistente.

L'articolo Dating online: il 23% degli italiani truffato! Quanto rischi sulle app di incontri? proviene da il blog della sicurezza informatica.

Dal 1989 al 2024, come sono cambiati i ransomware nel tempo, come cambieranno e perché la cyber difesa sembra essere un passo indietro rispetto al cyber crimine. Ne abbiamo parlato con Cisco anche per comprendere se pagare il riscatto è una cosa saggia

L'articolo 35 anni di ransomware: com’è evoluta la minaccia e com’è cambiato il modo di difendersi proviene da Cyber Security 360.

Mi è capitato nel tempo di scrivere anche cose di tipo "divulgativo" — per usare una parola alla quale non riesco a trovare un'alternativa migliore ma ci siamo capiti — sul mio mestiere.
Prima o poi mi piacerebbe raccoglierle.

...in quel regno della biodiversità che è la psicoterapia, quei diversi strumenti corrispondono in qualche modo a diverse concezioni del mondo. E questo riguarda la prima assunzione di responsabilità di un terapeuta, quella che sta a monte di tutte le altre...

massimogiuliani.it/blog/2018/0…

Ma un terapeuta risolve problemi? Corregge malfunzionamenti? Cambia le persone?

La psicoterapia spiegata a chi fa un altro mestiere / 1 Giusto per mettere le mani avanti, qualunque cosa scriverò sull’argomento sarà necessariamente imprecisa e semplificata. Già il titolo è una …

^{Corpi che parlano}

How any string instrument sounds depends on hundreds of factors; even the tiniest details matter. Seemingly inconsequential things like whether the tree that the wood came from grew on the north slope or south slope of a particular valley make a difference, at least to the trained ear. Add electronics into the mix, as with electric guitars, and that’s a whole other level of choices that directly influence the sound.

To experiment with that, [Mark Gutierrez] tried rolling some home-brew capacitors for his electric guitar. The cap in question is part of the guitar’s tone circuit, which along with a potentiometer forms a variable low-pass filter. A rich folklore has developed over the years around these circuits and the best way to implement them, and there are any number of commercially available capacitors with the appropriate mojo you can use, for a price.

[Mark]’s take on the tone cap is made with two narrow strips of regular aluminum foil separated by two wider strips of tissue paper, the kind that finds its way into shirt boxes at Christmas. Each of the foil strips gets wrapped around and crimped to a wire lead before the paper is sandwiched between. The whole thing is rolled up into a loose cylinder and soaked in mineral oil, which serves as a dielectric.

To hold the oily jelly roll together, [Mark] tried both and outer skin of heat-shrink tubing with the ends sealed by hot glue, and a 3D printed cylinder. He also experimented with a wax coating to keep the oily bits contained. The video below shows the build process as well as tests of the homebrew cap against a $28 commercial equivalent. There’s a clear difference in tone compared to switching the cap out of the circuit, as well as an audible difference in tone between the two caps. We’ll leave the discussion of which sounds better to those with more qualified ears; fools rush in, after all.

Whatever you think of the sound, it’s pretty cool that you can make working capacitors so easily. Just remember to mark the outer foil lead, lest you spoil everything.

youtube.com/embed/O6SxKZDqpVI?…

Thanks to [Eric] for the tip.

hackaday.com/2025/02/04/homebr…

A seguito del data breach del FSE notificato dalla regione Molise, il Garante Privacy sanziona tutta la catena di trattamento dei dati personali: la Regione Molise, la società Molise dati e Engineering ingegneria informatica, ciascuna responsabile della violazione

L'articolo Data breach del FSE Molise, tutta la catena di trattamento dati è responsabile: ecco perché proviene da Cyber Security 360.

Una singola app installata su un iPhone nuovo di zecca può rivelare i dati personali dell’utente, anche se quest’ultimo ha vietato il tracciamento. A questa conclusione è arrivato un un ricercatore conosciuto con lo pseudonimo Tim.

In iOS esiste da tempo la funzione “Chiedi all’app di non tracciare” che dovrebbe proteggere i tuoi dati personali. In realtà, impedisce solo alle app di ricevere l’identificativo pubblicitario (IDFA) del dispositivo. In Apple per molto tempo hanno assicurato che, grazie a questa opzione, gli sviluppatori non sarebbero stati in grado di tracciare l’utente, ad esempio tramite e-mail. Ma la realtà si è rivelata diversa.

Tim ha preso un iPhone 11 pulito, lo ha ripristinato alle impostazioni di fabbrica e ha installato un solo gioco dello sviluppatore KetchApp, che ha oltre 200 app sull’App Store. Per monitorare tutto ciò che il gioco invia alla rete, il ricercatore ha impostato un server proxy.

Ciò che vide metterebbe in apprensione qualsiasi fan della Apple: l’app inviava dati ogni frazione di secondo. Ogni pacchetto conteneva più di 200 parametri diversi, tra cui le coordinate del dispositivo. Tutte queste informazioni sono andate direttamente ai creatori del motore di gioco Unity su cui è stato realizzato il gioco. Tim ha notato che le coordinate non erano molto precise: l’iPhone funzionava senza scheda SIM, solo tramite Wi-Fi.

Ma la cosa più sorprendente è che i dati con timestamp e indirizzi IP sono andati ai server di Facebook, nonostante sul telefono non ci fosse alcuna applicazione Meta e lui stesso non avesse dato il suo consenso. La funzione “Chiedi all’app di non tracciare” ha reimpostato l’identificativo pubblicitario, ma l’app ha comunque raccolto molte altre informazioni sensibili.

Ogni richiesta conteneva più di 20 identificatori diversi: identificatore del fornitore (IFV), ID della transazione (TID), ID della sessione (SID), ID del dispositivo e ID dell’utente (UID). L’app registrava anche la luminosità dello schermo, la dimensione della memoria, la carica della batteria e perfino se le cuffie erano collegate.

I dati sono poi stati trasmessi a Moloco, un’azienda che opera come Demand-Side Platform (DSP) e afferma di coprire 6,7 miliardi di dispositivi in ​​oltre 190 Paesi. Queste piattaforme non si limitano a collegare gli inserzionisti agli spazi pubblicitari in tempo reale, ma estraggono anche enormi quantità di dati sugli utenti per indirizzare meglio gli annunci. Allo stesso tempo, qualsiasi partecipante all’asta può avere accesso a una parte o addirittura a tutti i dati raccolti.

Tim ha trovato centinaia di aziende che commerciano questo tipo di dati. Alcuni suggeriscono di collegare gli identificatori pubblicitari (MAID) ai dati reali delle persone e di mantenere aggiornate tali informazioni. Il ricercatore ha persino scoperto un’azienda che collega direttamente gli ID pubblicitari a nomi completi, indirizzi e-mail, numeri di telefono e indirizzi di casa.

Quando Tim ha provato ad acquistare i propri dati, è stato fermato dal prezzo: l’accesso a un database con informazioni su milioni di utenti costava tra i 10 e i 50 mila dollari. Inoltre, chiunque può acquistarlo, non solo i servizi speciali. Secondo il ricercatore, questi database contengono gli itinerari di viaggio di chiunque abbia giocato anche solo un po’ con le app gratuite.

Come proteggersi? Non consentire alle applicazioni di accedere alla geolocalizzazione, sostituire i dati GPS, inviare informazioni false, abilitare filtri DNS (servizi DNS privati ​​o Pi-Hole) e ad-blocker. Tuttavia, alcuni analisti ritengono che sia impossibile proteggersi completamente dalle minacce: gli sviluppatori hanno imparato a eludere la protezione, ad esempio tramite indirizzi IP codificati in modo rigido.

L'articolo iPhone Ti Spia Anche Senza il Tuo Consenso! La Funzione “Non Tracciare” È una Bugia? proviene da il blog della sicurezza informatica.

OGGETTISTICA, raccolta di prose non orientabili e talvolta nemmeno euclidee, si presenta in una delle più belle librerie d'Italia, MODO INFOSHOP, a Bologna, venerdì 14 febbraio, giorno di San Valentino. Le coppie di innamorati che verranno ad assistere riceveranno in omaggio una ventata di buonumore: slowforward.net/2025/02/04/14-…

slowforward

2025-02-04 10:03:00

14 febbraio, bologna: “oggettistica” a modo infoshop

Venerdì 14 febbraio, a Bologna, presso
MODO INFOSHOP (via Mascarella 24/b)
alle ore 18:15

presentazione di

OGGETTISTICA
di Marco Giovenale

intervengono

Stefano Colangelo e Sergio Rotino

letture dell’autore

evento fb:
facebook.com/events/1170357224…

il libro:
ticedizioni.com/products/ogget…

informazioni e link:
slowforward.net/2024/04/15/lin…

modoinfoshop.com/
instagram.com/modoinfoshop/
t. 051 5871012
info [at] modoinfoshop.com

N.b.: il libro è fin da ora disponibile in libreria,
quindi chi lo desidera può acquistarlo già adesso

#Bologna #LibreriaModoInfoshop #Modo #ModoInfoshop #presentazione #prosa #prosaBreve #prose #proseBrevi #proseNonEuclidee #proseNonOrientabili #reading #scritturaDiRicerca #scrittureDiRicerca #Tic #TicEdizioni #ventataDiBuonumore #viaMascarella

Marco Giovenale on Instagram: "venerdì 14 febbraio, Bologna, @modoinfoshop : OGGETTISTICA (@ticedizioni 2024) con il legale rappresentante @marco.giovenale & le annotazioni critiche di Stefano Colangelo e Sergio Rotino h. 18:15, via Mascarella 24/b h

14 likes, 2 comments - marco.giovenale on February 4, 2025: "venerdì 14 febbraio, Bologna, @modoinfoshop : OGGETTISTICA (@ticedizioni 2024) con il legale rappresentante @marco.

^Instagram