[devicemodder] wrote in to let us know they managed to install Linux Mint on their FRP-locked Panasonic Toughpad FZ-A2.

Android devices such as the FZ-A2 can be locked with Factory Reset Protection (FRP). The FRP limits what you can do with a device, tying it to a user account. On the surface that’s a good thing for consumers as it disincentivizes stealing. Unfortunately, when combined with SecureBoot, it also means you can’t just install whatever software you want on your hardware. [devicemodder] managed to get Linux Mint running on their FZ-A2, which is a notable achievement by itself, but even more remarkable is how it was done.

So how did [devicemodder] get around this limitation? The first step was to dump the BIOS using a CH341A-based programmer. From there, the image was uploaded to ChatGPT along with a request to disable SecureBoot. The resulting file was flashed back onto the FZ-A2, and all available fingers were crossed.

And… it worked! ChatGPT modified the BIOS enough that the Linux Mint installer could be booted from a flash drive. There are a bunch of bugs and issues to work through but in principle we have just seen AI capable enough to successfully patch a binary dump of BIOS code, which, for the record, is kind of hard to do. We’re not sure what all of this might portend.

So is uploading binaries to ChatGPT with requests for mods vibe coding? Or should we invent a new term for this type of hack?

hackaday.com/2025/06/07/chatgp…

Considerazioni di Luca Sofri (peraltro, direttore del Post) sull'imbarbarimento della nostra società.

wittgenstein.it/2025/06/06/la-…

Un exploit proof-of-concept in Apache Tomcat è stato divulgato, il quale prende di mira una vulnerabilità critica di tipo denial-of-service esponendo i server che eseguono le versioni da 10.1.10 a 10.1.39. La vulnerabilità sfrutta un difetto fondamentale nel modo in cui Apache Tomcat elabora le intestazioni di priorità HTTP/2, prendendo di mira specificamente il sistema di gestione della memoria del server.

L’exploit, monitorato con il codice CVE-2025-31650, sfrutta le intestazioni di priorità HTTP/2 malformate per causare l’esaurimento della memoria nelle istanze Tomcat vulnerabili. Il ricercatore di sicurezza Abdualhadi Khalifa ha sviluppato e pubblicato il codice exploit il 5 giugno 2025. Il vettore di attacco si basa sull’invio di richieste appositamente predisposte con parametri di priorità non validi che aggirano i normali meccanismi di convalida, causando perdite di memoria progressive all’interno dell’ambiente di runtime di Tomcat.

L’exploit utilizza una sofisticata serie di intestazioni di priorità malformate, tra cui valori numerici estremi quali u=-1, q=2, u=4294967295, q=-1 e u=-2147483648, q=1,5. Questi parametri sono progettati per innescare casi limite nell’implementazione HTTP/2 di Tomcat, in cui il server non riesce a deallocare correttamente le risorse di memoria dopo aver elaborato le richieste non valide.

La metodologia di attacco prevede l’avvio di attività asincrone simultanee che bombardano il server di destinazione con migliaia di richieste appositamente predisposte. L’exploit basato su Python sfrutta la libreria httpx con supporto HTTP/2 abilitato, implementando una classe chiamata TomcatKiller che gestisce l’esecuzione dell’attacco.

Le organizzazioni che utilizzano versioni vulnerabili di Apache Tomcat dovrebbero dare immediatamente priorità all’aggiornamento a versioni con patch che risolvano CVE-2025-31650. La vulnerabilità richiede un’attenta identificazione della versione prima di implementare strategie di correzione.

Le protezioni a livello di rete dovrebbero includere l’implementazione di una limitazione della velocità per le connessioni HTTP/2 e il monitoraggio di modelli insoliti nell’utilizzo delle intestazioni di priorità. I team di sicurezza dovrebbero configurare sistemi di rilevamento delle intrusioni per identificare i modelli caratteristici di questo exploit, in particolare i valori specifici dell’intestazione di priorità non validi utilizzati nell’attacco.

L'articolo Divulgato un exploit PoC sul bug di Apache Tomcat che porta al DOS del sistema proviene da il blog della sicurezza informatica.

As much as people love USB-C, there’s one massive flaw that becomes very obvious the moment you look at the ports on any computer. This being that there’s no (standardized) way to tell what any of those ports do. Some may do display out (Alt-Mode), some may allow for charging, but it remains mostly a matter of praying to the hardware gods. According to a recent blog post, this is where Microsoft will seek to enforce a USB-C feature set on all (mobile) computers compliant with its Windows Hardware Compatibility Program (WHCP).

This also comes after years of the USB Implementers Forum, re-branding the USB specifications, with the most recent iteration thankfully using the bandwidth (in Gbps) as specifier (meaning no ‘USB PlaidSpeed’, sadly). Claiming to follow this end-user friendly spirit, the Microsoft blog post goes on to a minimum set of features that USB-C ports should have, as detailed in the above table.

Most notable is probably that PC charging support is required, as is support for at least one external display. As for the negatives, this seems to only apply to laptops, and no actual charging requirements are set (USB-PD voltages, wattage, etc.), so what the actual impact of this will be remains to be seen.

One thing remains certain, however, and that is that by trying to make USB-C the One True Connector for literally everything, there will always remain cases where end-user expectations remain unfulfilled.

hackaday.com/2025/06/07/micros…

[Moby Pixel] wanted to build a fun MIDI controller. In the end, he didn’t build it just once, but twice—with the aim of finding out which microcontroller was most fit for this musical purpose. Pitted against each other? The ESP32 and Raspberry Pi Pico.

The MIDI controller itself is quite fetching. It’s built with a 4 x 4 array of arcade buttons to act as triggers for MIDI notes or events. They’re assembled in a nice wooden case with a lovely graphic wrap on it. The buttons themselves are wired to a microcontroller, which is then responsible for sending MIDI data to other devices.

At this point, the project diverges. Originally, [Moby Pixel] set the device up to work with an ESP32 using wireless MIDI over Bluetooth. However, he soon found a problem. Musical performance is all about timing, and the ESP32 setup was struggling with intermittent latency spikes that would ruin the performance. Enter the Raspberry Pi Pico using MIDI over USB. The hardwired solution eliminated the latency problems and made the controller far more satisfying to use.

There may be solutions to the latency issue with the wireless ESP32 setup, be they in code, hardware configuration, or otherwise. But if you want to play with the most accuracy and the minimum fuss, you’ll probably prefer the hardwired setup.

Latency is a vibe killer in music as we’ve explored previously.

youtube.com/embed/yeVNayMNu6s?…

hackaday.com/2025/06/07/when-w…

CAITLIN JOHNSTONE - QUESTO È ISRAELE
4 giugno 2025

Questo è Israele. Ecco come appare il Progetto Sionista. I bambini morti. Gli ospedali distrutti. I civili disperati e affamati. Questo è tutto.

Non esiste una versione alternativa di Israele in cui queste cose non stiano accadendo. La visione Sionista liberale di una Soluzione a Due Stati e di un Israele giusto e pacifico esiste esclusivamente nell'immaginazione delle persone che la immaginano. Niente di simile è mai esistito. Tutto ciò che riguarda il moderno Stato di Israele è irremovibilmente ostile a questa visione.

O si sostiene l'esistenza dell'Israele che si vede davanti a sé, o si sostiene la fine dell'Apartheid Sionista. Non esiste una terza opzione alternativa. Non ci sono altre posizioni da considerare. Fingere il contrario significa vivere in una favola.

O vuoi bruciare vivi i bambini o non lo vuoi. O vuoi deliberatamente affamare i civili o non lo vuoi. O vuoi bombardare gli ospedali o non lo vuoi. O si vogliono deliberatamente assassinare giornalisti palestinesi mentre si vieta l'ingresso a Gaza ai giornalisti stranieri o non lo si vuole. O si vogliono Massacrare deliberatamente i civili e distruggere sistematicamente le infrastrutture civili per forzare l'espulsione dei palestinesi da un territorio palestinese o non lo si fa. E se sei contrario, devi opporti allo Stato di Israele.

Questo è Israele, lo Stato. Non solo Netanyahu. Non solo coloni estremisti. Non solo "elementi di estrema destra all'interno del governo israeliano". Israele stesso. Perché tutto ciò che stiamo vedendo fare a Israele è il risultato di tutto ciò che Israele è come Stato.

Tutto ciò che Israele sta facendo è il risultato di tutto ciò che è sempre stato. Non appena l'Occidente ha deciso di abbandonare uno Stato Colonialista in cima a una civiltà preesistente in cui i nuovi immigrati avrebbero ricevuto un trattamento preferenziale rispetto agli abitanti nativi che già vivevano lì, è diventato inevitabile che Israele sarebbe finito nelle condizioni in cui si trova oggi.

Perché non c'era modo di mantenere quello status quo senza sfollamenti di massa e tirannia, violenza e abusi senza sosta. Non c'era modo di creare una società a più livelli in cui un livello è posto al di sopra dell'altro senza indottrinare il popolo ad accettare quel sistema di Apartheid Disumanizzando sistematicamente i membri del gruppo privo di potere.

Stabilite uno status quo di Disumanizzazione di un gruppo di persone e fabbricate il consenso per la violenza e l'abuso contro di loro e, inevitabilmente, vi ritroverete con uno Stato di Apartheid di estrema destra che sta commettendo un Genocidio, così come sicuramente far cadere una pietra da un edificio provocherà la caduta di una pietra a terra.

Quello che stiamo vedendo oggi a Gaza è stato incluso nello Stato di Israele sin dal suo inizio.

Tutti quei bambini morti sul tuo flusso di notizie dei social media sono il frutto di un albero il cui seme è stato piantato dopo la Seconda Guerra Mondiale. Quell'albero ha dato sempre più frutti e continuerà a farlo finché rimarrà in piedi. Perché questo è proprio il tipo di albero che è. L'unico tipo di albero che avrebbe mai potuto essere.

Dire "Sostengo Israele ma non sostengo le azioni di Netanyahu a Gaza" è come dire "Mi piace questo albero di mele, ma solo quando germogliano noci di cocco invece di mele". Questo non è il tipo di albero che è. L'albero delle mele produrrà solo mele e l'albero del Genocidio produrrà solo il Genocidio.

I sostenitori di Israele evitano di confrontarsi con verità ovvie come queste. Il sostegno a Israele dipende da una compartimentazione psicologica su larga scala. Tutto ruota attorno all'evitare verità spiacevoli invece di fare i conti con esse in modo profondo e viscerale.

Distogliendo lo sguardo dalle riprese video delle atrocità di Israele a Gaza. Distogliendo lo sguardo dalle contraddizioni tra i valori che pretendono di sostenere e tutto ciò che Israele è come Stato. Distogliendo lo sguardo dalle montagne su montagne di prove che ci fissano tutti in faccia. Questo è l'unico modo in cui il sostegno a Israele può continuare.

Per diventare una specie guidata dalla verità, dobbiamo smettere di nasconderci dalle verità scomode. E uno dei nostri nascondigli preferiti per verità scomode a questo punto della storia è il moderno Stato di Israele, e il sostegno dell'Impero Occidentale ad esso.

________________________________
Traduzione: La Zona Grigia

Fonte:
caitlinjohnst.one/p/this-is-is…

When you watch a movie and see those perfect focus switches or zooms, the chances are you’re not seeing the result of the cameraman or focus operator manually moving the lens controls. Instead, they will have been planned and programmed in advance and executed by a motor. If you take a close look at many lenses you’ll see a ring that’s more than just extra knurling, it’s a gear wheel for this purpose. Want to experiment with this technique without buying professional grade accessories? [l0u0k0e] has you covered with a 3D printable focus zoom motor accessory.

The motor behind it all is a geared stepper motor, and there are a set of printed parts to complete the model. It’s recommended to use PETG, and nylon for the gears, but it would work in PLA with a shorter life. It’s designed to work with the standard 15 mm tube you’ll find on many camera rigs, and while you can write your own Arduino sketches to control it if you wish, we’re given instructions for hooking it up to existing focus drivers. The model is on Printables, should you wish to try.

This is by no means the first focus puller we’ve seen, in fact you can even use LEGO.

hackaday.com/2025/06/07/printe…

Roundcube Webmail è un client IMAP multilingue basato su browser con un’interfaccia utente simile a quella di un’applicazione. Offre tutte le funzionalità che ci si aspetta da un client di posta elettronica, tra cui supporto MIME, rubrica, gestione delle cartelle, ricerca della posta e controllo ortografico.

Di recente, il Qi’anxin CERT ha rilevato un bug di esecuzione di codice backend di Roundcube Webmail (CVE-2025-49113).

La vulnerabilità consiste in un errore logico nella funzione di deserializzazione personalizzata di Roundcube Webmail durante l’elaborazione di file contenenti delimitatori specifici, consentendo ad aggressori autenticati di attivare la deserializzazione creando nomi di file dannosi, ottenendo così l’esecuzione di comandi da remoto e il controllo completo del server.

Attualmente, i dettagli tecnici e la PoC della vulnerabilità sono stati resi pubblici su Internet. Dato l’ampio impatto della vulnerabilità, si consiglia ai clienti di eseguire un’autoispezione e protezione il prima possibile.

Ambito di influenza

Versioni interessate

• Webmail Roundcube
• Webmail Roundcube

Ricorrenza

Attualmente, il ricercatore di sicurezza del Qi’anxin Threat Intelligence Center ha riprodotto con successo la vulnerabilità di esecuzione del codice in background di Roundcube Webmail (CVE-2025-49113); lo screenshot è il seguente:

Attività interessate

I dati della piattaforma di mappatura degli asset Qi’anxin Eagle Chart mostrano che il numero totale di asset a rischio relativi alla Cina che corrisponde a 57.430 istanze, e il numero totale di IP associati è 7.345. La distribuzione degli asset a rischio globali è la seguente:

Il numero totale di asset a rischio globale associati alla vulnerabilità di esecuzione del codice backend di Roundcube Webmail (CVE-2025-49113) è 1.985.313, mentre il numero totale di IP associati è 224.197. La distribuzione degli asset a rischio globale è la seguente:

Attualmente, la versione ufficiale è disponibile per l’aggiornamento. Si consiglia agli utenti interessati di eseguire l’aggiornamento alla versione più recente. Anche l’Agenzia per la cybersicurezza nazionale ha emesso un avviso in tal senso, riportando la necessita di aggiornare immediatamente le istanze affette dalla clamorosa Remote Code Execution.

L'articolo Una RCE da 9.9 su Roundcube Webmail è stata rilevata dai ricercatori cinesi proviene da il blog della sicurezza informatica.

La console Nintendo Switch 2 è appena uscita e gli hacker hanno già scoperto una vulnerabilità.

Il ricercatore di sicurezza David Buchanan è stato il primo a segnalare un exploit per la console Nintendo che sfrutta un punto debole nella libreria condivisa del dispositivo. Ha dimostrato come la cosiddetta vulnerabilità userland possa essere utilizzata per modificare il comportamento di un programma senza accedere al kernel di sistema, ad esempio per forzare la console a visualizzare una grafica personalizzata sotto forma di una scacchiera.

L’exploit utilizza la tecnica Return-Oriented Programming (ROP) , in cui l’hacker sostituisce l’indirizzo di ritorno in memoria, forzando il programma a eseguire il codice di qualcun altro.

Tuttavia, in questo caso, stiamo parlando solo del livello utente: non sarà possibile ottenere l’accesso root o “hackerare” la console in questo modo. Inoltre, lo stesso Buchanan ha ammesso che una simile dimostrazione non ha alcuna utilità pratica e, in teoria, potrebbe essere semplicemente un video di YouTube, sebbene la comunità degli sviluppatori confermi la realtà della vulnerabilità.

Nintendo è tradizionalmente molto severa riguardo alle modifiche ai propri dispositivi. L’azienda ha già avvertito che potrebbe disabilitare la console se un utente tentasse di modificare i servizi di sistema del proprio account. Il contratto d’uso di Switch 2 vieta inoltre esplicitamente qualsiasi manomissione del software.

Sebbene l’exploit trovato non rappresenti una minaccia, potrebbe esserci una nuova sfida da affrontare: quanto tempo ci vorrà agli hacker per aggirare completamente la protezione e ottenere l’accesso al firmware personalizzato?

E come reagirà Nintendo stessa?

L'articolo Nintendo Switch 2: un exploit scoperto al secondo giorno dell’uscita proviene da il blog della sicurezza informatica.

I truffatori utilizzano la piattaforma Google Apps Script per ospitare pagine di phishing che sembrano legittime e rubano le credenziali degli utenti. I ricercatori di Cofense hanno lanciato l’allarme per nuovi attacchi. Secondo loro, la finta finestra di login è “progettata con cura e ha l’aspetto di una finestra di login legittima”.

“Gli attacchi utilizzano email camuffate da vari account che contengono un link a pagine web che utilizzano Google Apps Script, una piattaforma di sviluppo integrata con i prodotti Google”, spiegano gli esperti.

“Ospitando una pagina di phishing nell’ambiente attendibile di Google, gli aggressori creano l’illusione che sia autentica. Questo rende più facile indurre gli utenti a fornire informazioni sensibili.”

Google Apps Script è la piattaforma di scripting cloud di Google basata su JavaScript che consente di automatizzare le attività ed estendere le funzionalità dei prodotti Google Workspace come Fogli Google, Documenti Google, Drive, Gmail e Calendar. Gli script vengono eseguiti nel dominio attendibile di Google (script.google.com), che è presente nell’elenco degli indirizzi consentiti nella maggior parte delle soluzioni di sicurezza.

Gli aggressori sfruttano Google Apps Script creando script che visualizzano una falsa pagina di accesso che intercetta le credenziali inserite dalle vittime. I dati vengono quindi trasmessi al server degli hacker tramite una richiesta nascosta. Poiché la piattaforma consente a chiunque di pubblicare script come applicazioni web pubbliche e fornisce un dominio Google a tale scopo, gli aggressori possono sfruttarla per evitare sospetti. Inoltre, gli hacker possono modificare da remoto i propri script senza dover inviare nuovamente i link alle vittime, consentendo loro di passare rapidamente da un’esca all’altra.

I ricercatori scrivono che le email di phishing contengono in genere inviti all’azione correlati, ad esempio, al pagamento di bollette o tasse e rimandano a una pagina dannosa ospitata sull’infrastruttura di Google. Dopo che la vittima ha inserito login e password, viene reindirizzata al servizio reale imitato dalla pagina di phishing, per indebolire la vigilanza dell’utente e dare agli aggressori più tempo per utilizzare i dati rubati.

Gli analisti di Cofense concludono che per ora la difesa più efficace contro questo tipo di attacchi è bloccare completamente l’accesso agli URL di Google Apps Script o almeno consigliare di contrassegnarli come potenzialmente pericolosi.

L'articolo Attacco invisibile via Google: rubano credenziali con pagine ospitate su Apps Script proviene da il blog della sicurezza informatica.

Your average 3D printer is just a nozzle shooting out hot plastic while being moved around by a precise robotic mechanism. There’s nothing stopping you replacing the robot and moving around the plastic-squirting nozzle yourself. That’s precisely what [3D Sanago] did to produce this cute little robot.

The beginning of the video sets the tone. “First we create the base that will become the robot vacuum’s body,” explains [3D Sanago]. “I quickly and precisely make a 15 x 15 cm square almost as if I were a 3D printer.” It’s tedious and tiring to move the 3D printing pen through the motions to build simple parts, but that’s the whole gimmick here. What’s wild is how good the results are. With the right post-processing techniques using an iron, [3D Sanago] is able to produce quite attractive plastic parts that almost justify the huge time investment.

The robot itself works in a fairly straightforward fashion. It’s got four gear motors driving four omniwheels, which let it pan around in all directions with ease. They’re under command of an Arduino Uno paired with a multi-channel motor driver board. The robot also has a servo-controlled arm for moving small objects. The robot lacks autonomy. Instead, [3D Sanago] gave it a wireless module so it could be commanded with a PS4 controller. Despite being referred to as a “robot vacuum,” it’s more of a general “cleaning robot” since it only has an arm to move objects, with no actual vacuum hardware. It’s prime use? Picking up socks.

We’ve seen [3D Sanago]’s fine work before, too. Video after the break.

youtube.com/embed/EAw71MKXW-I?…

hackaday.com/2025/06/06/3d-pen…

If you have never heard of the Bellmac-32, you aren’t alone. But it is a good bet that most, if not all, of the CPUs in your devices today use technology pioneered by this early 32-bit CPU. The chip was honored with the IEEE Milestone award, and [Willie Jones] explains why in a recent post in Spectrum.

The chip dates from the late 1970s. AT&T’s Bell Labs had a virtual monopoly on phones in the United States, but that was changing, and the government was pressing for divestiture. However, regulators finally allowed Bell to enter the computing market. There was only one problem: everyone else had a huge head start.

There was only one thing to do. There was no point in trying to catch the leaders. Bell decided to leap ahead of the pack. In a time when 8-bit processors were the norm and there were nascent 16-bit processors, they produced a 32-bit processor that ran at a — for the time — snappy 2 MHz.

At the time (1978), most chips used PMOS or NMOS transistors, but Bellmac-32 used CMOS and was made to host compiled C programs. Problems with CMOS were often addressed using dynamic logic, but Bell used a different technique, domino logic, to meet their goals.

Domino logic lets devices cascade like falling dominoes in between clock pulses. By 1980, the device reached 2 MHz, and a second generation could reach speeds of up to 9 MHz. For contrast, the Intel 8088 from 1981 ran at 4.77 MHz and handled, at most, half the data in a given time period as the Bellmac-32. Of course, the 68000 was out a year earlier, but you could argue it was a 16-bit CPU, despite some 32-bit features.

It is fun to imagine what life would be like today if we had fast 32-bit Unix machines widely available in the early 1980s. History has shown that many of Bellmac’s decisions were correct. CMOS was the future. Many of the design and testing techniques would go on to become standard operating procedure across the industry. But, as for the Bellmac-32, it didn’t really get the attention it deserved. It did go on in the AT&T 3B computers as the WE 32×00 family of CPUs.

You can check out a 1982 promo video about the CPU below, which also explains domino logic. Instruction sets have changed a bit since then. You can see a 68000 and 8086 face off, and imagine how the Bellmac would have done in comparison.

youtube.com/embed/JnSS5qI3Cwo?…

hackaday.com/2025/06/06/the-be…

For all the remarkable improvements we’ve seen in desktop 3D printers, metal printers have tended to stay out of reach for hackers, mostly because they usually rely on precise and expensive laser systems. This makes it all the more refreshing to see [Dan Gelbart]’s demonstration of Rapidia’s cast-to-sinter method, which goes from SLA prints to ceramic or metal models.

The process began by printing the model in resin, scaled up by 19% to account for shrinkage. [Dan] then used the resin print to make a mold out of silicone rubber, after first painting the model to keep chemicals from the resin from inhibiting the silicone’s polymerization. Once the silicone had set, he cut the original model out of the mold and prepared the mold for pouring. He made a slurry out of metal powder and a water-based binder and poured this into the mold, then froze the mold and its contents at -40 ℃. The resulting mixture of metal powder and ice forms a composite much stronger than pure ice, from which [Dan] was able to forcefully peel back the silicone mold without damaging the part. Next, the still-frozen part was freeze-dried for twenty hours, then finally treated in a vacuum sintering oven for twelve hours to make the final part. The video below the break shows the process.

A significant advantage of this method is that it can produce parts with much higher resolution and better surface finish than other methods. The silicone mold is precise enough that the final print’s quality is mostly determined by the fineness of the metal powder used, and it’s easy to reach micron-scale resolution. The most expensive part of the process is the vacuum sintering furnace, but [Dan] notes that if you only want ceramic and not metal parts, a much cheaper ceramic sintering oven will work better.

We’ve seen sintering-based metal printers a few times before, as well a few more esoteric methods. We’ve also covered a few of [Dan]’s previous videos on mechanical prototyping methods and building a precision CNC lathe.

youtube.com/embed/kLgPW2672s4?…

Thanks to [Eric R Mockler] for the tip!

hackaday.com/2025/06/06/freeze…

Sometimes it’s nice to have a widget to do a single task and avoid getting distracted by the supposed simplicity of doing it with an app on a smartphone. [Dina Amin] built a timer from an old flip clock to stay focused.

Starting with a disassembly of the flip clocks she found at a flea market with [Simone Giertz], [Amin] decided to change the twenty four hour mechanism to a twenty four minute one which was similar to the amount of time she was already using for several different practices. Since she’s an expert in animation, she planned on turning a set of CT scans into the animation that would play on the section that had previously been the minutes of the clock.

As much of the original clock’s components were damaged, and [Amin] didn’t have a chance to learn clockmaking from scratch in a week, she tried a few different drive mechanisms for the build. The drum from an air fryer timer driven with an electric motor fit the bill, but off enough from proper minutes that [Amin] switched from numerals to a yellow circle that fills in as it approaches the satisfying ding of completion.

If you want to see Simone’s Moon flip clock we’ve covered that project too.

youtube.com/embed/JCh1N5dAVxI?…

hackaday.com/2025/06/06/a-flip…

L’FBI ha riferito che la botnet Android BadBox 2.0 ha già infettato oltre 1 milione di dispositivi in ​​tutto il mondo. Gli attacchi includono decoder TV, tablet, smart TV, smartphone e così via, che il malware trasforma in proxy residenziali.

“La botnet BadBox 2.0 è composta da milioni di dispositivi infetti e contiene molteplici backdoor verso proxy che i criminali informatici utilizzano per vendere o fornire accesso gratuito a reti domestiche compromesse da utilizzare per una serie di attività criminali”, avverte l’FBI.

Ricordiamo che BadBox è un malware per Android basato sul codice della famiglia di malware Triada. Spesso, il malware può essere preinstallato su dispositivi economici fin da subito, e infettarli anche tramite aggiornamenti e applicazioni dannose che a volte penetrano in Google Play e negli store di terze parti.

Il malware viene utilizzato per rubare dati, installare altro malware e consente agli aggressori di ottenere l’accesso remoto alla rete in cui si trova il gadget infetto. “I criminali informatici ottengono l’accesso non autorizzato alle reti domestiche dotando i dispositivi di malware prima che vengano acquistati dall’utente o infettandoli durante il download di applicazioni necessarie contenenti backdoor, cosa che di solito avviene durante la configurazione”, spiega l’FBI. “Una volta che i dispositivi IoT compromessi si connettono alle reti domestiche, diventano parte della botnet BadBox 2.0 e dei proxy residenziali, comunemente utilizzati per attività dannose”.

Come già segnalato dagli esperti di sicurezza, BadBox è in grado di rubare codici di autenticazione a due fattori, installare altro malware e creare nuovi account di posta elettronica e di messaggistica istantanea per diffondere notizie false. Inoltre, gli operatori di BadBox sono associati a frodi pubblicitarie e i dispositivi infetti vengono utilizzati come proxy residenziali. Sono noti anche casi in cui gli aggressori hanno utilizzato gli indirizzi IP delle vittime per accedere agli account di altre persone utilizzando credenziali rubate.

Ricordiamo che BadBox è stato scoperto per la prima volta nel 2023 dal ricercatore indipendente di sicurezza informatica Daniel Milisic, il quale notò che su Amazon venivano venduti decoder Android T95 infettati da malware complessi fin dal primo momento.

Alla fine del 2024, le forze dell’ordine tedesche hanno tentato di disattivare parte della botnet BadBox. Tuttavia, i ricercatori di BitSight hanno subito segnalato che l’operazione ha avuto un impatto minimo sul suo funzionamento. Entro la fine di dicembre, la botnet contava nuovamente oltre 192.000 dispositivi infetti in tutto il mondo.

Questa primavera, Human Security ha guidato una nuova operazione per combattere la botnet, in collaborazione con Google, Trend Micro, la Shadowserver Foundation e altri esperti. Con la botnet che ha nuovamente registrato una rapida crescita, raggiungendo quasi un milione di dispositivi IoT infetti, i ricercatori l’hanno chiamata BadBox 2.0.

“Questa campagna ha colpito oltre 1 milione di dispositivi consumer. I dispositivi inclusi nella botnet BadBox 2.0 includevano tablet, decoder, proiettori digitali e altri dispositivi di fascia bassa, senza marchio e non certificati”, ha scritto Human Security. “I dispositivi infetti sono soluzioni basate su Android Open Source Project, non dispositivi con sistema operativo Android TV o certificati Play Protect. Sono tutti prodotti nella Cina continentale e spediti in tutto il mondo”.

Secondo i ricercatori, la maggior parte dei gadget interessati si trova in Brasile (37,6%), Stati Uniti (18,2%), Messico (6,3%) e Argentina (5,3%). Nel marzo 2025, l’operazione ha consentito di realizzare un sinkhole su alcuni domini botnet, interrompendo la comunicazione con i server di comando e controllo di 500.000 dispositivi infetti. Tuttavia, secondo l’FBI, la botnet sta nuovamente crescendo poiché i consumatori acquistano sempre più prodotti compromessi e li collegano a Internet.

L'articolo Ti vendono una TV e ti regalano un malware! BadBox: un milione di dispositivi per una botnet invisibile proviene da il blog della sicurezza informatica.