Compared to the old 8-bit Arduinos, it’s incredible how cheap modern microcontrollers like the ESP32 have become. But there are even cheaper options out there if you don’t need that kind of horsepower, and are willing to do a little work yourself, as [atomic14] demonstrates.

The CH32V003 is a dirt cheap microcontroller—which can reportedly be had for as little as 10 cents if you know where to look. It’s not the most powerful chip by any means, boasting just 16 K flash, and 2 K of SRAM. However, it is a 32-bit RISC V machine, and it does run at 48 MHz—giving it a leg up on many 8-bit parts that are still out there.

Surprisingly there aren’t a whole lot of CH32V003 products for the maker market, so if you want to play with it, you’ll probably need to spin up your own boards. [atomic14] does just that, showing us how the chip can be put to good use by turning it into a little musical trinket. It’s a fun demo, and a great way to get to grips with programming on a new microcontroller platform.

It’s hard to get more chiptune than a 10 cent chip beeping its little head off. How could possibly justify spending tens of dollars modding a Game Boy when this exists, even if it sounds like a caffeinated greeting card?

youtube.com/embed/RiiS4jjG6ME?…

hackaday.com/2025/10/23/10-cen…

Un tribunale federale ha ordinato alla società israeliana NSO Group (sviluppatrice dello spyware commerciale Pegasus) di smettere di utilizzare spyware per prendere di mira e attaccare gli utenti di WhatsApp.

Ricordiamo che Pegasus è una piattaforma spyware sviluppata da NSO Group. Pegasus viene venduto come spyware legale e utilizzato per attività di spionaggio e sorveglianza in tutto il mondo. Pegasus (e, tramite esso, i clienti di NSO Group) è in grado di raccogliere messaggi di testo e informazioni sulle app da dispositivi iOS e Android, intercettare chiamate, tracciare posizioni, rubare password e altro ancora.

Nel 2019, i rappresentanti di WhatsApp hanno intentato una causa contro NSO Group, accusando l’azienda di aver favorito e favorito attacchi informatici condotti per conto di vari governi in 20 paesi, tra cui Messico, Emirati Arabi Uniti e Bahrein. La causa chiedeva un risarcimento pecuniario e un’ingiunzione contro tali pratiche.

Questo contenzioso continua ancora oggi. Ad esempio, alla fine del 2024, sono diventati pubblici documenti giudiziari non redatti . Secondo questi documenti, fino ad aprile 2018 circa, NSO Group ha utilizzato un client WhatsApp personalizzato (WhatsApp Installation Server, o WIS) e un exploit proprietario chiamato Heaven per gli attacchi. Questo exploit poteva impersonare il client WhatsApp ufficiali ed è stato utilizzato per installare Pegasus sui dispositivi delle vittime da un server di terze parti controllato da NSO.

Dopo che gli sviluppatori di WhatsApp hanno scoperto il problema e hanno bloccato l’accesso di NSO Group ai dispositivi e ai server infetti con patch rilasciate a settembre e dicembre 2018, l’exploit Heaven ha smesso di funzionare.

Poi, nel febbraio 2019, NSO Group ha creato un nuovo exploit, Eden, per aggirare le nuove misure di sicurezza di WhatsApp. Nel maggio 2019, i funzionari di WhatsApp hanno scoperto che Eden era stato utilizzato dai clienti di NSO Group per attaccare circa 1.400 dispositivi, molti dei quali appartenevano ad avvocati, giornalisti, attivisti per i diritti umani, dissidenti politici, diplomatici e alti funzionari stranieri.

La scorsa settimana, il giudice Phyllis J. Hamilton della Corte distrettuale degli Stati Uniti per il distretto settentrionale della California ha accolto la richiesta di un’ingiunzione permanente presentata dal proprietario di WhatsApp, Meta, contro NSO Group nel 2019.

La decisione del tribunale obbliga NSO Group a cessare definitivamente di prendere di mira gli utenti di WhatsApp, tentando di infettare i loro dispositivi o di intercettare i messaggi di WhatsApp, protetti dalla crittografia end-to-end tramite il protocollo open source Signal. Hamilton ha inoltre ordinato a NSO Group di cancellare tutti i dati precedentemente ottenuti prendendo di mira gli utenti di WhatsApp.

I rappresentanti di NSO Group avevano precedentemente affermato che una simile decisione avrebbe “costretto l’azienda a chiudere” perché Pegasus era il suo prodotto di punta. Tuttavia, Hamilton ha ritenuto che il danno che Pegasus avrebbe causato a Meta superasse tali considerazioni.

“La corte ritiene che qualsiasi azienda che gestisca le informazioni personali degli utenti e investa risorse nella crittografia di tali informazioni subisca accessi non autorizzati, e questo non è solo un danno reputazionale, ma un danno aziendale”, ha affermato Hamilton. “In sostanza, aziende come WhatsApp vendono, tra le altre cose, la privacy delle informazioni, e qualsiasi accesso non autorizzato compromette tale vendita. Le azioni degli imputati vanificano uno degli scopi principali del servizio dei querelanti, che costituisce un danno diretto”.

Il giudice ha inoltre respinto la richiesta di Meta di estendere l’ingiunzione ai governi stranieri che potrebbero utilizzare WhatsApp, osservando che gli Stati sovrani non sono parti in causa. Anche la richiesta di Meta di estendere l’ingiunzione agli attacchi mirati agli utenti di altri prodotti Meta (come Facebook e Instagram) è stata respinta, citando la mancanza di prove di attacchi mirati.

“La sentenza odierna impedisce allo sviluppatore di spyware NSO Group di prendere di mira nuovamente WhatsApp e i nostri utenti in tutto il mondo“, ha dichiarato Will Cathcart, CEO di WhatsApp. “Accogliamo con favore questa decisione, che arriva dopo sei anni di azioni legali per ritenere NSO Group responsabile dei suoi attacchi alla società civile. Crea un precedente importante: prendere di mira un’azienda statunitense comporta gravi conseguenze”.

Hamilton ha inoltre ridotto i danni punitivi assegnati dalla giuria a NSO Group nel maggio 2025. Il verdetto originale della giuria obbligava NSO Group a pagare a WhatsApp 167 milioni di dollari, ma tale cifra è stata ora ridotta a 4 milioni di dollari. Il giudice ha osservato che i criteri precedentemente utilizzati dalla giuria per determinare l’importo della sanzione erano errati.

I rappresentanti del gruppo NSO hanno dichiarato ai media che la società ha accolto con favore la decisione del tribunale di ridurre i danni punitivi del 97%, “rispetto all’importo eccessivo” inizialmente determinato dalla giuria.

L'articolo Un tribunale ordina a NSO Group di smettere di utilizzare spyware contro WhatsApp proviene da Red Hot Cyber.

Having a gadget’s battery nestled snugly within the bowels of a device has certain advantages. It finally solves the ‘no batteries included’ problem, and there is no more juggling of AA or AAA cells, nor their respective chargers. Instead each device is paired to that one battery that is happily charged using a standardized USB connector, and suddenly everything is well in the world.

Everything, except for the devices that cannot be used while charging, wireless devices that are suddenly dragging along a wire while charging and which may have charging ports in irrational locations, as well as devices that would work quite well if it wasn’t for that snugly embedded battery that’s now dead, dying, or on fire.

Marrying devices with batteries in this manner effectively means tallying up all the disadvantages of the battery chemistries and their chargers, adding them to the device’s feature list, and limiting their effective lifespan in the process. It also prevents the rapid swapping with fresh batteries, which is why everyone is now lugging chunky powerbanks around instead of spare batteries, and hogging outlets with USB chargers. And the task of finding a replacement for non-standardized pouch cell batteries can prove to be hard or impossible.

Looking at the ‘convenience’ argument from this way makes one wonder whether it is all just marketing that we’re being sold. Especially in light of the looming 2027 EU regulation on internal batteries that is likely to wipe out the existence of built-in batteries with an orbital legal strike. Are we about to say ‘good riddance’ to a terrible idea?

Not Very Pro

The Nikon EL-EN15 battery.
To further rub in how much of a terrible idea built-in batteries are, one only has to look at professional equipment, particularly in the audiovisual world. Whether we are talking about DSLRs, mirror-less cameras, or professional video cameras, they all have as standard feature the ability to quickly swap batteries. Nikon and Canon cameras use a range of proprietary-but-standard Li-ion batteries, with Sony’s video camera batteries also used on portable studio lighting. For the super-expensive Red video cameras you can use either the massive Redvolt batteries that dangle off the side or a power adapter.

The reasoning here is simple: when you are doing a photo or film shoot you do not have time for charging, so you load up with a stash of charged batteries beforehand. As the current battery becomes drained, you pop open the battery hatch or detach the current pack and slam in a fresh battery before resuming. During moments of downtime you can put the drained batteries on the charger that you have squirreled away somewhere. This way you stay wireless and charged with zero fuss, and if you have enough batteries, zero downtime.

Even within the era of budget photo and video cameras you’d be able to do this. When it comes to my own JVC camcorder and Canon IXUS 100 IS point-and-shoot camera, both offer this feature, even if the battery swapping experience doesn’t feel as premium as with the Nikon D7200 DSLR and its EN-EL15 batteries that is used for more serious occasions. Swapping batteries with the DSLR in particular is as easy as swapping SD cards, which is to say a matter of seconds.

One might get the idea here that the main reason to stuff a pouch cell somewhere inside the device is mostly a cost-saving measure, as it omits the battery terminals and ejection mechanism for the pack.

Battery Decay

Another reason why having a built-in battery with a multi-thousand-Euro DSLR would be a terrible idea beyond the insanity of having to ‘charge the DSLR’, is that the battery will be dead long before even the warranty on the DSLR has expired, especially if you are an avoid shooter. Even if you do not use a device that much, the fact of the matter is that lithium-ion cells begin to degrade as soon as they have been manufactured. This may be acceptable in a €1,000+ smartphone when people buy a new one every other year anyway, but becomes a problem when you’d like to use a device for much longer.

A good summary of the how and why of lithium-ion batteries (LIB) can be found in this IEEE review article by Wiljan Vermeer et al. from 2021. The three main aging mechanisms are:

• Loss of Lithium Inventory (LLI).
• Loss of Active Material (LAM).
• Conductivity Loss (CL).

There are multiple ways in which each type of aging can occur, with most requiring the cell to be charged and discharged, as this inflicts mechanical and other types of stress. When it comes to storing LIBs, we enter the territory of calendar aging. This has an irreversible and reversible component, the former being impacted by three components: the state of charge (SoC), temperature, and time.
Calendar aging of NMC Li-ion cells at 50 ℃ and at various SoCs. (Credit: Wiljan Vermeer, IEEE, 2021)
What this tells us is that although you can affect LIB calendar aging, it’s a pretty inevitable aspect of their chemistry. This is true even in the case of the lithium-polymer (LiPo) LIB type batteries with its polymer electrolyte. This effectively means that charging the battery in a device to 80% instead of 100% will give it some more life, but you’d have to drop down to 50% or less to see the big gains. It’s also highly advisable to keep the battery relatively cool, which is where fast-charging is a terrible idea, especially as the resistance of the battery goes up due to aging.

While the exact mechanisms behind calendar aging are still being investigated, it’s likely that the layer that forms at the electrochemically unstable electrolyte-electrode interface (SEI) restructures to prevent the transfer of lithium ions, effectively increasing the measured resistance via the CL aging path.

In addition to calendar aging you have the charge-discharge cycle-based aging mechanisms, which not only affects the SEI, but also causes mechanical expansion of the graphite anode material, which leads to both the LLI and LAM aging paths. When you then add in the typical charging method for gadgets like smartphones using a LIB-based powerbank, you end up with double the charge-discharge cycles over simply slotting in a fresh battery.

End Of The Road

Replacing the battery in the Samsung Galaxy Nexus. (Credit: Maya Posch)
Beyond larger electronic devices, pouch cell LIBs are now integrated in countless more gadgets, from lamps to Bluetooth speakers. To address the sheer volume of these built-in LIBs, the EU’s Battery Regulation will begin to enforce its removability and replaceability requirements starting on 18 February of 2027.

The batteries which we discussed in this article fall under so-called ‘portable batteries’, meaning that it weighs less than 5 kg and is not used for an electric vehicle. These are required to make it possible for the end user to replace and remove, all without damaging or destroying the battery or the device, and without requiring any special tools. There are some partial safety-related exceptions where a professional can do said replacement, while a full exception is limited to a number of very specific device categories.

What exactly the fallout of this change will be remains to be seen, with manufacturers likely starting to adapt their products throughout 2026. Devices like smartphones, game controllers, but also Bluetooth speakers, wireless mice and portable game consoles will all be affected, so it’ll be interesting to see what approach we will see here.

Perhaps most of all what it might mean for standardization of cells and batteries, as every device that’s put on the market in the EU must have spare batteries available for reasonable cost for five years after it stops being sold. Clearly this would be cheaper if the same battery just got used for decades, somewhat like the veritable AA cell and today’s 18650 and similar formats.

So Many Standards

The process of standardization is a rough one, with sometimes the legislature leaning into the issue after consultation with a requirement, as with USB-based chargers. Other times the market simply picks something that’s readily available and does the job. One example of this is the Nokia BL-5C battery and its variations, which was quite prevalent due to Nokia using it for its phones and other platforms like the N-Gage. Consequently third-party manufacturers made their own compatible versions for use in a wide range of devices.
The Nokia BL-5C Lithium-Ion battery, this one from a Nokia N-Gage. (Credit: Evan-Amos)
While the BL-5C is still fairly large, at 53 mm x 34 mm and a thickness of 6 mm, point and shoot cameras as well as action cameras feature a range of smaller batteries, with the Canon NB-4L as used in the IXUS point and shoot cameras providing more than 750 mAh in a 35 mm x 40 mm package and a similar 5.9 mm thickness. The third-party replacements that I got of the NB-4L claim to provide 1,200 mAh, as modern LIBs tend to have more capacity within the same form factor due to more refined manufacturing.

Interestingly, even rechargeable AA-sized cells aren’t limited to NiMH chemistry any more, with Li-ion options now available yet still providing the 1.5 V one would expect. This does require a bit of electronics in the cell, and results in them having a capacity that’s similar to that of NiMH AA cells, while suffering all the aging issues of any other LIB in addition to the limited number of charge cycles. Assuming that the 1.2 V of NiMH cells is acceptable, then devices could accept AA or AAA NiMH cells.

Of note here is that none of this means that having a power input port for charging the battery or cell inside the device itself is no longer possible or allowed. Depending on the device manufacturer, the new EU regulations should mean little difference for the end user, other than having the option to pop open each device to extract and replace the battery. This could mean that wireless mice and Bluetooth headsets will soon feature an alternative to sticking in that charge cable and have the device be mostly useless until its built-in battery has soaked up sufficient juice.

Although this is an EU-only thing, it’s likely to come to every other part of the globe as well.

hackaday.com/2025/10/23/built-…

Dai vicoli di Palermo o di Napoli alle piattaforme digitali: il crimine organizzato ha cambiato linguaggio, ma non natura. “Le mafie non sussurrano più, ma ballano, ridono su TikTok. Non nascondono il potere: lo esibiscono attraverso simboli, gesti e colonne sonore”, ha detto il presidente della Fondazione Magna Grecia Nino Foti. È questa la chiave di lettura emersa in un convegno che ha riunito a New York presso la Rappresentanza Permanente d’Italia presso le Nazioni Unite diplomatici, parlamentari e studiosi per riflettere su come la criminalità organizzata si reinventa nel mondo virtuale.
A introdurre i lavori è stato Gianluca Greco, vice rappresentante permanente d’Italia all’ONU, che ha delineato lo scenario globale: “Le reti criminali – ha spiegato – sfruttano la spinta digitale per ampliare il proprio raggio d’azione. Gli attacchi virtuali, il riciclaggio di denaro elettronico, la contraffazione online sono oggi strumenti abituali della criminalità transnazionale. Per questo la cooperazione internazionale resta imprescindibile.”

Greco ha ricordato l’adozione, lo scorso dicembre, della Convenzione delle Nazioni Unite contro la criminalità informatica, il primo trattato globale sul tema dopo vent’anni, firmato ufficialmente ad Hanoi il 25 e 26 ottobre. Un passo avanti fondamentale, ha sottolineato, “per creare uno spazio digitale sicuro, in cui i criminali siano realmente perseguibili, ma senza compromettere i diritti umani e la privacy.”

L’evento ha visto la partecipazione di un delegazione di alto livello dall’Italia composta dagli Onorevoli Chiara Colosimo, Presidente della Commissione Parlamentare Antimafia, Francesco Saverio Romano, Presidente della Commissione Parlamentare per la Semplificazione, e dal Procuratore Capo di Napoli, Nicola Gratteri, il quale proprio dalla sede delle Nazioni Unite ha lanciato un monito per la collaborazione tra tutti gli Stati per contrastare le mafie e le organizzazioni criminali, fenomeni oramai globali che sfruttano tecnologie e connessioni virtuali per propagare il loro raggio d’azione a livello internazionale. “Le mafie si sono globalizzate e digitalizzate. Nessuno Stato può combatterle da solo. Serve un’alleanza etica, giuridica e tecnologica tra le democrazie”, ha detto il magistrato.

Il convegno è andato oltre l’aspetto repressivo, spostando il focus sulla dimensione culturale del fenomeno. Nella cosiddetta mafiosfera, l’immagine sostituisce la parola, la violenza diventa intrattenimento, e il crimine si presenta come brand.

“Il contrasto alla mafia digitale – ha affermato Foti – non è solo una battaglia tecnologica, ma soprattutto educativa. Dobbiamo rendere contagiosa la legalità, usando i linguaggi dei giovani per restituire fascino alla giustizia e al bene comune.” Da qui l’appello a creare percorsi di alfabetizzazione digitale e laboratori di creatività civica che parlino la lingua dei social, ma per diffondere consapevolezza e responsabilità.

Un contributo scientifico decisivo è arrivato da Marcello Ravveduto, membro del comitato scientifico della Fondazione, che ha presentato la nuova mappa della “mafiosfera digitale”, frutto di una ricerca condotta con l’Università di Salerno su oltre 62.000 contenuti social. Lo studio identifica tre livelli: quello endogeno, con i profili legati direttamente a boss e clan; quello esogeno, popolato dai cosiddetti mafia lovers, utenti che rilanciano messaggi criminali in modo consapevole o meno; e quello interstiziale, dove i codici mafiosi si mescolano a moda, musica e linguaggi giovanili, normalizzando la violenza.

“Simboli come il leone, la catena o la clessidra – ha spiegato Ravveduto – diventano icone digitali del potere mafioso, usate come marchi d’identità e appartenenza. La mafia si racconta e si auto-promuove come un prodotto culturale.”

Da qui la proposta di un Atlante digitale antimafia, accessibile a insegnanti, giornalisti e magistrati, per decifrare le nuove forme di comunicazione criminale e restituire al pubblico una lettura critica dei messaggi veicolati online.

La delegazione italiana, accompagnata dal Presidente della Fondazione Magna Grecia, Nino Foti, è stata ricevuta dal Rappresentante permanente all’ONU, Ambasciatore Maurizio Massari, il quale ha ringraziato i partecipanti per avere voluto condividere nella sede delle Nazioni Unite, a beneficio della comunità internazionale, l’esperienza italiana a tutto campo nel contrasto alla criminalità organizzata, che abbraccia gli ambiti giudiziario, politico, giuridico-legislativo, economico, culturale, sociale, informatico-tecnologico. L’Ambasciatore ha ricordato che il 15 novembre prossimo, in occasione dei 25 anni dalla firma della Convenzione di Palermo, si celebrerà la Giornata internazionale per la prevenzione e la lotta contro tutte le forme di criminalità organizzata transnazionale, che – nelle parole di Massari – “costituirà l’occasione per ribadire l’impegno italiano nella lotta alle mafie e per ricordare le vittime e i servitori dello Stato che hanno dedicato la propria vita a combattere il crimine organizzato”.

#mafiosfera
#mafiosferadigitale

@Attualità, Geopolitica e Satira

Esiste una falla di sicurezza avanzata in M365 Copilot, che permette a malintenzionati di estorcere informazioni sensibili dai tenant, come ad esempio email recenti, attraverso manovre di iniezione indiretta di comandi.

Un ricercatore di sicurezza, Adam Logue, ha dettagliatamente descritto una vulnerabilità in un articolo sul suo blog recentemente pubblicato. Questa vulnerabilità, grazie all’integrazione dell’assistente AI nei documenti Office e al supporto nativo per i diagrammi Mermaid, permette la fuoriuscita di dati con un solo clic iniziale dell’utente, senza richiedere ulteriori interazioni.

L’attacco inizia quando un utente chiede a M365 Copilot di riassumere un foglio di calcolo Excel creato appositamente. Istruzioni nascoste, incorporate in testo bianco su più fogli, utilizzano la modifica progressiva delle attività e comandi nidificati per dirottare il comportamento dell’IA.

I prompt indiretti sostituiscono l’attività di riepilogo, indicando a Copilot di richiamare il suo strumento search_enterprise_emails per recuperare le email aziendali recenti. Il contenuto recuperato viene quindi codificato in formato esadecimale e frammentato in righe brevi per aggirare i limiti di caratteri di Mermaid.

Copilot genera un diagramma Mermaid, uno strumento basato su JavaScript per creare diagrammi di flusso e diagrammi a partire da testo simile a Markdown che si spaccia per un “pulsante di accesso” protetto da un’emoji a forma di lucchetto.

Il diagramma include lo stile CSS per un aspetto convincente del pulsante e un collegamento ipertestuale che incorpora i dati e-mail codificati. Quando l’utente clicca sul link, credendo che sia necessario per accedere al contenuto “sensibile” del documento, questo reindirizza al server dell’aggressore. Il payload codificato in esadecimale viene trasmesso silenziosamente, dove può essere decodificato dai log del server.

Adam Logue ha notato delle somiglianze con un precedente exploit Mermaid in Cursor IDE, che consentiva l’esfiltrazione senza clic tramite immagini remote, sebbene M365 Copilot richiedesse l’interazione dell’utente.

Dopo approfonditi test, il payload è stato ispirato dalla ricerca TaskTracker di Microsoft sul rilevamento del “task drift” nei LLM. Nonostante le difficoltà iniziali nel riprodurre il problema, Microsoft ha convalidato la catena e l’ha corretta entro settembre 2025, rimuovendo i collegamenti ipertestuali interattivi dai diagrammi Mermaid renderizzati da Copilot.

La cronologia delle scoperte mostra che ci sono state difficoltà di coordinamento. Adam Logue ha riferito la situazione completa il 15 agosto 2025, dopo aver discusso con lo staff del Microsoft Security Response Center (MSRC) al DEFCON.

L'articolo Un grave bug in Microsoft 365 Copilot porta all’esfiltrazione dei dati tramite prompt proviene da Red Hot Cyber.

Piraten Podcast 3 (22 okt 2025): De geschiedenis van de partij, de geschiedenis van PiratenDeze Piraten Podcast werd opgenomen in HAN Nijmegen Met David, Arjan, en Roberto!en dank aan: Sabrina, Leontien en Bart.

Het bericht Piraten Podcast 3: De geschiedenis van de partij verscheen eerst op Piratenpartij.