Facebook and Yandex have been caught performing user-hostile tracking. This sort of makes today just another Friday, but this is a bit special. This time, it’s Local Mess. OK, it’s an attack with a dorky name, but very clever. The short explanation is that web sites can open connections to localhost. And on Android, apps can be listening to those ports, allowing web pages to talk to apps.

That may not sound too terrible, but there’s a couple things to be aware of. First, Android (and iOS) apps are sandboxed — intentionally making it difficult for one app to talk to another, except in ways approved by the OS maker. The browser is similarly sandboxed away from the apps. This is a security boundary, but it is especially an important security boundary when the user is in incognito mode.

The tracking Pixel is important to explain here. This is a snippet of code, that puts an invisible image on a website, and as a result allows the tracker to run JavaScript in your browser in the context of that site. Facebook is famous for this, but is not the only advertising service that tracks users in this way. If you’ve searched for an item on one site, and then suddenly been bombarded with ads for that item on other sites, you’ve been tracked by the pixel.

This is most useful when a user is logged in, but on a mobile device, the user is much more likely to be logged in on an app and not the browser. The constant pressure for more and better data led to a novel and completely unethical solution. On Android, applications with permission to access the Internet can listen on localhost (127.0.0.1) on unprivileged ports, those above 1024.

Facebook abused this quirk by opening a WebRTC connection to localhost, to one of the ports the Facebook app was listening on. This triggers an SDP connection to localhost, which starts by sending a STUN packet, a UDP tool for NAT traversal. Packed into that STUN packet is the contents of a Facebook Cookie, which the Facebook app happily forwards up to Facebook. The browser also sends that cookie to Facebook when loading the pixel, and boom Facebook knows what website you’re on. Even if you’re not logged in, or incognito mode is turned on.

Yandex has been doing something similar since 2017, though with a different, simpler mechanism. Rather than call localhost directly, Yandex just sets aside yandexmetrica.com for this purpose, with the domain pointing to 127.0.0.1. This was just used to open an HTTP connection to the native Yandex apps, which passed the data up to Yandex over HTTPS. Meta apps were first seen using this trick in September 2024, though it’s very possible it was in use earlier.

Both companies have ceased since this report was released. What’s interesting is that this is a flagrant violation of GDPR and CCPA, and will likely lead to record-setting fines, at least for Facebook.

What’s your Number?

An experiment in which Google sites still worked with JavaScript disabled led to a fun discovery about how to sidestep rate limiting and find any Google user’s phone number. Google has deployed defensive solutions to prevent attackers from abusing endpoints like accounts.google.com/signing/usernamerecovery. That particular endpoint still works without JS, but also still detects more than a few attempts, and throws the captcha at anyone trying to brute-force it.

This is intended to work by JS in your browser performing a minor proof-of-work calculation, and then sends in a bgRequest token. On the no-JavaScript version of the site, that field instead was set to js_disabled. What happens if you simply take the valid token, and stuff it into your request? Profit! This unintended combination bypassed rate-limiting, and means a phone number was trivially discoverable from just a user’s first and last names. It was mitigated in just over a month, and [brutecat] earned a nice $5000 for the effort.

Catching Reflections

There’s a classic Active Directory attack, the reflection attack, where you can trick a server into sending you an authentication, and then deliver that authentication data directly back to the origin server. Back before 2008, this actually worked on AD servers. The crew at RedTeam Pentesting brought this attack back in the form of doing it with Kerberos.

It’s not a trivial attack, and just forcing a remote server to open an SMB connection to a location the attack controls is an impressive vulnerability. The trick is a hostname that includes the target name and a base64 encoded CREDENTIAL_TARGET_INFORMATIONW all inside the attacker’s valid hostname. This confuses the remote, triggering it to act as if it’s authenticating to itself. Forcing a Kerberos authentication instead of NTLM completes the attacker magic, though there’s one more mystery at play.

When the attack starts, the attacker has a low-privileged computer account. When it finishes, the access is at SYSTEM level on the target. It’s unclear exactly why, though the researchers theorize that a mitigation intended to prevent almost exactly this privilege escalation is the cause.

X And the Juicebox

X has rolled out a new end to end encrypted chat solution, XChat. It’s intended to be a significant upgrade from the previous iteration, but not everyone is impressed. Truly end to end encryption is extremely hard to roll out at scale, among other reasons, because users are terrible at managing cryptography keys. The solution generally is for the service provider to store the keys instead. But what is the point of end-to-end encryption when the company holds the keys? While there isn’t a complete solution for this problem, There is a very clever mitigation: Juicebox.

Juicebox lets users set a short PIN, uses that in the generation of the actual encryption key, breaks the key into parts to be held at different servers, and then promise to erase the key if the PIN is guessed incorrectly too many times. This is the solution X is using. Sounds great, right? There are two gotchas in that description. The first is the different servers: That’s only useful if those servers aren’t all run by the same company. And second, the promise to delete the key. That’s not cryptographically guaranteed.

There is some indication that X is running a pair of Hardware Security Modules (HSMs) as part of their Juicebox system, which significantly helps with both of those issues, but there just isn’t enough transparency into the system yet. For the time being, the consensus is that Signal is still the safest platform to use.

Bits and Bytes

We’re a bit light on Bits this week, so you’ll have to get by with the report that Secure Boot attacks are publicly available. It’s a firmware update tool from DT Research, and is signed by Microsoft’s UEFI keys. This tool contains a vulnerability that allows breaking out of it’s intended use, and running arbitrary code. This one has been patched, but there’s a second, similar problem in a Microsoft-signed IGEL kernel image, that allows running an arbitrary rootfs. This isn’t particularly a problem for us regular users, but the constant stream of compromised, signed UEFI boot images doesn’t bode well for the long term success of Secure Boot as a security measure.

hackaday.com/2025/06/13/this-w…

Meta ha intentato una causa contro Joy Timeline HK Limited, con sede a Hong Kong, accusandola di aver distribuito in massa annunci su Facebook e Instagram per un’app che utilizza l’intelligenza artificiale per creare immagini di nudo senza il consenso degli utenti. La causa sostiene che Joy Timeline fosse dietro Crush AI, un servizio pubblicizzato come uno strumento in grado di “strappare i vestiti” da qualsiasi foto.

Decine di migliaia di annunci pubblicitari che promuovevano queste offerte sono stati distribuiti, nonostante Meta li abbia regolarmente rimossi, chiudendo pagine e account e bloccando domini che potevano essere utilizzati per accedere alle app. Secondo la causa, l’azienda ha intrapreso ripetuti provvedimenti contro Joy Timeline dal 2023, ma l’azienda ha continuato a pubblicare annunci NSFW che violavano le policy della piattaforma.

La causa sottolinea che Joy Timeline ha sistematicamente aggirato i divieti creando nuovi account aziendali e ripubblicando annunci simili. Meta insiste sul fatto che, senza l’intervento del tribunale, l’azienda continuerà ad agire in violazione delle sue regole. Entro febbraio 2025, più di 135 pagine Facebook e almeno 170 account aziendali distribuivano circa 87.000 annunci che promuovevano app di “spogliarello”, secondo i documenti.

Tra gli esempi citati nella causa figura uno di questi annunci, che mostra una donna in top nero e pantaloncini, con l’immagine divisa in due parti: a sinistra, vestita, con la scritta “NSFW”, e a destra, senza vestiti, con le didascalie “TOGLIERE IL REGGISENO” e “TOGLIERE I PANTALONI”. Gli annunci includevano inviti a caricare una foto per “spogliarsi in un minuto” o “creare un video di ballo”.

Meta afferma di considerare tali abusi una seria minaccia e di volerli contrastare attivamente. Oltre alla causa, l’azienda ha annunciato nuove misure per limitare la diffusione di tali servizi. Meta utilizza inoltre una tecnologia proprietaria per identificare tali annunci, anche se non contengono immagini di nudo dirette.

Utilizza un sistema di abbinamento per identificare rapidamente cloni e nuovi tentativi di inganno. L’azienda afferma che continuerà a ricorrere a misure legali e di altro tipo per limitare la diffusione di servizi di intelligenza artificiale che sfruttano e violano l’etica.

L'articolo 87.000 annunci per un’APP che sveste le persone. Meta: Rivestiteli tutti! proviene da il blog della sicurezza informatica.

Apple ha corretto una vulnerabilità critica, utilizzata per sferrare attacchi Zero Click contro giornalisti in Europa. L’errore permetteva di infettare i dispositivi senza l’interazione dell’utente: era sufficiente ricevere un messaggio appositamente preparato tramite iCloud Link. I dettagli dell’attacco, i suoi meccanismi e le sue conseguenze sono stati svelati dagli specialisti di Citizen Lab, che hanno condotto un’indagine forense sulle conseguenze di attacchi reali.

La vulnerabilità, identificata come CVE-2025-43200, è stata risolta il 10 febbraio 2025, negli aggiornamenti iOS 18.3.1 . support.apple.com/en-us/122174… , iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 e visionOS 2.3.1. Secondo Apple, il problema è stato causato da un errore logico nell’elaborazione di foto o video inviati tramite link iCloud. Per risolverlo, l’azienda ha implementato controlli aggiuntivi.

Apple ha confermato ufficialmente che la vulnerabilità è stata sfruttata in un “attacco altamente sofisticato” contro individui specifici. Sebbene i dettagli dell’attacco in sé non siano stati divulgati nella notifica, l’analisi di Citizen Lab ha dimostrato che la falla è stata sfruttata per infettare gli iPhone di due giornalisti.

I dispositivi hackerati erano dotati di Graphite, uno strumento di sorveglianza avanzato sviluppato dall’azienda israeliana Paragon. Questo modulo spyware consente l’accesso remoto a messaggi, e-mail, microfono, fotocamera e posizione del dispositivo. Il suo utilizzo è solitamente limitato alle agenzie governative ed è ufficialmente considerato uno strumento per combattere la criminalità e le minacce alla sicurezza nazionale.

Citizen Lab ha scoperto che entrambi i giornalisti sono stati infettati dallo stesso account Apple, denominato “ATTACKER1“, il che indica che entrambi gli attacchi provenivano dallo stesso client Paragon. Le notifiche di Apple relative agli attacchi spyware sono state inviate alle vittime il 29 aprile 2025. Il sistema di allerta di Apple, in vigore dal 2021, avvisa gli utenti della potenziale esposizione a operatori governativi, ma non garantisce un’infezione effettiva.

Ciò che è ancora più allarmante è che Apple ha risolto contemporaneamente un’altra vulnerabilità, il CVE-2025-24200, anch’essa sfruttata in attacchi attivi. L’azienda ha segnalato questo bug solo qualche tempo dopo, senza specificare il motivo del ritardo. L’incidente è strettamente legato a un altro scandalo scoppiato a gennaio, quando Meta ha denunciato che Graphite era stato utilizzato per attaccare decine di utenti WhatsApp in tutto il mondo. Tra le vittime c’era anche il giornalista Francesco Cancellato, collega di Ciro Pellegrino. Questo porta il numero totale delle vittime note di Graphite a sette.

In mezzo alla controversia, la Commissione parlamentare per la sicurezza (COPASIR) ha pubblicato un rapporto in cui ha riconosciuto che le agenzie di intelligence italiane avevano effettivamente utilizzato Graphite per la sorveglianza mirata, ma solo nel rispetto della legge e dopo aver ottenuto tutte le autorizzazioni necessarie. Secondo la commissione, il programma era utilizzato per combattere il terrorismo, la criminalità organizzata, l’immigrazione clandestina, il contrabbando di carburante, lo spionaggio e i latitanti. Tuttavia, il dispositivo di Cancellato, come affermato nel documento, non era tra gli obiettivi, lasciando aperta la questione della vera fonte della sorveglianza.

Il rapporto rivela anche il funzionamento interno di Graphite. Per utilizzare lo spyware, un operatore deve accedere con nome utente e password. Ogni sessione viene registrata su un server gestito dal client: è il client, non Paragon, a controllare l’archiviazione e l’accesso ai registri delle attività. Ciò significa che l’utente finale può utilizzare Graphite in completa autonomia, senza controllo o monitoraggio esterno.

Citizen Lab ha sottolineato ancora una volta che tali incidenti dimostrano quanto i giornalisti rimangano vulnerabili agli strumenti commerciali di sorveglianza digitale. La difficoltà di rilevamento, la mancanza di procedure trasparenti e la possibilità di infezioni senza contatto rendono tali attacchi particolarmente pericolosi. La situazione dimostra chiaramente quanto sia urgente rafforzare il controllo internazionale e la regolamentazione giuridica nel campo della sorveglianza digitale.

Nel frattempo, un nuovo vettore di minaccia si sta sviluppando nel cyberspazio. Insikt Group di Recorded Future ha rilevato una ripresa dell’attività di un altro spyware israeliano, Predator, creato da Intellexa/Cytrox. A seguito delle sanzioni statunitensi, gli sviluppatori hanno modificato la propria infrastruttura e sono tornati in azione. I ricercatori hanno identificato nuovi server di livello 1 che indicano infezioni in Mozambico, nonché un collegamento con l’azienda ceca FoxITech sro, precedentemente affiliata al consorzio Intellexa.

Predator è stato utilizzato in più di una dozzina di paesi negli ultimi due anni, tra cui Angola, Armenia, Egitto, Indonesia, Mongolia, Arabia Saudita e Filippine. Più della metà dei clienti noti del programma si trova in Africa. Gli analisti affermano che l’impennata di attività è dovuta all’elevata domanda nei paesi soggetti a restrizioni all’esportazione, nonché all’utilizzo di strutture aziendali complesse che rendono difficile rintracciare l’origine e l’utente finale.

Gli esperti sottolineano che l’emergere di nuove infezioni, parallelamente agli attacchi con Graphite, evidenzia la portata della minaccia. Dispositivi, dati e privacy possono essere monitorati senza notifiche, mandati o segnali evidenti. La sorveglianza digitale sta diventando uno strumento privo di feedback e di controllo esterno.

L'articolo Un altro Zeroclick per IPhone corretto. Ma il mercato degli Spyware è sempre più florido che mai proviene da il blog della sicurezza informatica.

Stavolta il post è lungo.
E' il brutto di lavorare a turni: il tempo per scrivere, se vuoi, si trova.

Ciò che sta accadendo tra #Israele ed #Iran ci porta sempre più vicino al punto di non ritorno.
Forse per questo mi sono dilungato.

Abbiate pazienza.

noblogo.org/transit/il-mondo-f…

Transit

2025-06-13 12:28:14

Il mondo finisce ad Oriente.

(168)

Nota: Lo so, non è da me farla così lunga, ma in un mondo che impazzisce forse un pochino di squilibrio ce lo metto anche io. La verità è che la #Pace è davvero impossibile. Almeno così sembra. Il che rende, fondamentalmente, questo uno sfogo. Ci vuole pazienza.

La notte tra il 12 e il 13 giugno 2025 ha visto l'ennesima escalation del conflitto mediorientale, quando #Israele ha lanciato un massiccio attacco aereo contro l' #Iran, mirato principalmente alle strutture nucleari e militari di Teheran. Le forze israeliane hanno colpito siti sensibili, distruggendo laboratori e centri di ricerca, nonché eliminando alcuni tra i principali comandanti delle Guardie della Rivoluzione, l'élite militare iraniana. Un colpo che ha scatenato una serie di reazioni internazionali. L'Iran, come prevedibile, ha replicato con una serie di droni che hanno tentato di colpire obiettivi strategici in Israele, gettando il paese in una nuova spirale di violenza.

Le parole di #DonaldTrump, che ha immediatamente espresso un sostegno incondizionato all'azione israeliana, hanno ulteriormente polarizzato il dibattito internazionale. Trump ha minacciato l'Iran con nuove offensive se non avesse accettato un accordo sul nucleare, aggiungendo così un ulteriore strato di complessità alla già tesa situazione geopolitica. L’appoggio degli Stati Uniti alla politica aggressiva di Israele sembra segnare il punto di non ritorno di un conflitto che ha radici profonde, alimentato da ideologie contrapposte e da interessi strategici divergenti.

Politicamente, l'attacco israeliano ha reso evidente l'intensificarsi della guerra a bassa intensità tra le potenze regionali. Israele, con la sua operazione “Leone Ascendente”, ha voluto chiarire una volta per tutte che non tollererà il programma nucleare iraniano, ritenuto una minaccia per la propria sicurezza nazionale. Questo attacco ha avuto l'effetto di indebolire momentaneamente l'Iran, uccidendo alcuni dei suoi strateghi più esperti e decimando parte delle sue capacità operative. Tuttavia, la risposta dell'Iran non si è fatta attendere: il lancio di droni ha avuto il chiaro intento di far capire a Israele che ogni azione avrà una controparte, anche se le capacità belliche di Teheran, pur impressionanti, non possono in alcun modo paragonarsi alla potenza di fuoco israeliana.

Le implicazioni politiche per il Medio Oriente sono incalcolabili. L'Iran ha immediatamente mobilitato le sue milizie alleate in Siria, Libano e Iraq, preparando il terreno per una possibile guerra per procura che potrebbe estendersi ben oltre i confini dei due paesi coinvolti. In questo scenario, la comunità internazionale rischia di assistere a una polarizzazione crescente, con i paesi arabi che, pur condannando l’aggressione israeliana, non sembrano disposti a schierarsi apertamente a favore di Teheran, temendo le ripercussioni di un allineamento troppo esplicito.

Moralmente, invece, l'attacco israeliano solleva interrogativi inquietanti sulla legittimità di un'azione preventiva, soprattutto quando si considera che l'Iran ha sempre sostenuto di non avere intenzioni belliche dirette contro Israele. Sebbene Israele possa giustificare il suo intervento come una misura di difesa preventiva, non si può ignorare la violazione della sovranità iraniana e il fatto che l’attacco possa generare un'ulteriore spirale di violenza e vendetta. La morte di alti ufficiali iraniani e scienziati nucleari potrebbe, inoltre, rafforzare la narrativa del martirio e alimentare il risentimento tra la popolazione iraniana, creando un ulteriore fossato tra l'Iran e l'Occidente.

Da un punto di vista etico, sorge anche la questione dell’equilibrio delle forze: mentre gli Stati Uniti e Israele vedono la sicurezza come una priorità assoluta, l'Iran non può fare a meno di difendere ciò che considera un diritto sovrano, ossia la propria capacità di autodefinirsi come potenza regionale. La domanda che sorge spontanea è quindi se la logica della deterrenza, che ha caratterizzato la guerra fredda, possa essere applicata efficacemente in un contesto così volatile e intrinsecamente pericoloso.

L'operazione ha accentuato le divisioni interne in Iran, dove il regime potrebbe trovarsi a fronteggiare un'ondata di proteste interne. La crisi economica che affligge Teheran, le sanzioni internazionali e il crescente malcontento popolare potrebbero minare ulteriormente la stabilità del governo. Tuttavia, un sentimento di orgoglio nazionale potrebbe temporaneamente consolidare il consenso interno contro l'invasore straniero, come spesso accade in contesti bellici.

In Europa, la situazione appare delicata. L'Unione Europea, da sempre promotrice di un approccio diplomatico e pacifico, si trova ora a dover navigare tra due fuochi: la necessità di mantenere relazioni economiche con l'Iran, e l'alleanza con Israele, che rappresenta uno dei suoi principali partner strategici. La Francia e la Germania hanno condannato l'escalation, chiedendo una de-escalation immediata, ma non sono riuscite a offrire una soluzione concreta. L'Italia, pur allineata in linea di principio con le posizioni europee, ha adottato un tono più cauto, sottolineando la necessità di una mediazione internazionale urgente per evitare che il conflitto degeneri in una guerra totale.

Il nostro stato si è trovato a giocare un ruolo delicato nel bilanciare il proprio supporto a Israele con l’esigenza di non alienarsi la cooperazione iraniana. Sebbene il governo italiano abbia espresso una condanna per l'aggressione israeliana, si è anche preoccupato delle implicazioni a lungo termine di una rottura totale tra l'Iran e l'Occidente. L'Italia, infatti, è da sempre favorevole a un approccio diplomatico per risolvere la crisi nucleare iraniana, e un’escalation militare potrebbe compromettere gli sforzi compiuti negli anni passati per stabilire un dialogo.

L’Unione Europea, nel suo insieme, ha rilasciato dichiarazioni ufficiali invocando una “de-escalation immediata”, ma la divisione tra i membri più favorevoli a un duro confronto (come la Polonia) e quelli più favorevoli a un negoziato (come l’Italia e la Spagna) è ormai palese. Il rischio è che l'Europa, incapace di adottare una linea unitaria, finisca per essere marginalizzata in un conflitto che potrebbe ridisegnare gli equilibri di potere nell'intera regione mediorientale.

L'attacco israeliano all'Iran ha profondamente scosso gli assetti geopolitici internazionali, mettendo in luce non solo le fragilità politiche e sociali dei protagonisti del conflitto, ma anche la difficoltà di una comunità internazionale a trovare un punto di mediazione efficace. Le conseguenze politiche, morali e sociali di questa nuova escalation sono ancora in divenire, ma una cosa è certa: l'Europa e l'Italia dovranno affrontare con urgenza la necessità di rinnovare i propri approcci diplomatici, se vogliono evitare che il conflitto si trasformi in una guerra su scala globale. La strada verso una stabilizzazione del Medio Oriente sembra sempre più incerta e tortuosa, e l'unica speranza risiede nel ritorno al dialogo e alla cooperazione internazionale.

#Blog #Iran #Israele #Medioriente #War #Guerra #Opinioni #Politica #Politics

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram