When you think of neon, you might think of neon signs or the tenth element, a noble gas. But there was a time when neon bulbs like the venerable NE-2 were the 555 of their day, with a seemingly endless number of clever circuits. What made this little device so versatile? And why do we see so few of them today?

Neon’s brilliant glow was noted when William Ramsay and Morris Travers discovered it in 1898. It would be 1910 before a practical lighting device using neon appeared. It was 1915 when the developer, Georges Claude, of Air Liquide fame, received a patent on the unique electrodes suitable for lighting and, thus, had a monopoly on the technology he sold through his company Claude Neon Lights.

However, Daniel Moore in 1917 developed a different kind of neon bulb while working for General Electric. These bulbs used coronal discharge to produce a red glow or, with argon, a blue glow. This was different enough to earn another patent, and neon bulbs found use primarily as indicator lamps before the advent of the LED. However, it would also find many other uses.

How It Worked

An NE-2 with AC power applied (public domain by [junkyardsparkle]).Despite the name, a neon bulb typically has only 99.5% neon, and the rest is usually argon, which tunes the voltage where the gas breaks down. This breakdown voltage is the key to the bulb’s properties. The gas is at a very low pressure. Other gases and impurities can also change the color of the bulb, but the most common ones were neon and argon.

There are two electrodes within, an anode and a cathode. When a DC voltage excites the bulb sufficiently, a glow forms around one electrode. AC makes both electrodes glow alternately. The striking voltage changes based on ambient light or radioactive exposure, as well as the bulb’s gas mix and pressure.

Until the strike voltage occurs, the bulb is effectively an open circuit. When it does strike, however, the resistance goes down and will sustain even at a lower voltage. Like an LED, current limiting is essential, or the bulb will burn out. The NE-2, arguably the most common neon bulb, triggers at 90 V, nominally, and will conduct until the voltage drops to about 60 V.

So It Lights Up?

The lighting up is good, but you do need a lot of voltage to get it going. The bulb will easily light up from 120 V line voltage, for example. But the really interesting property is that the bulbs, when glowing, exhibit negative resistance. That is, as current increases, voltage decreases.

You can also make the bulbs operate in a bistable mode, where they can work in logic circuits. They weren’t common, but some bulbs had special features for logic use. These bulbs were not made to glow necessarily, and sometimes had a third wire used as a control electrode.

Since the gas inside the tube can ionize, neon bulbs can also detect things like light, microwaves, or heavy electrostatic fields. They can even pick up audio.

What Could You Do?

Of course, the normal application was to use the devices as a lamp, like you’d use an LED today. Power pilot lights were common. Special neon lights looking like digits form the basis of nixie tubes.

Another neat display trick was the “blown fuse” indicator. Fuse holders often had neon bulbs in them that connected across the fuse terminals. In normal operation, the voltage across the fuse was practically zero, so the bulb stayed dark. But if the fuse blew, you’d have 120 V across the bulb, which would then light up. A high-value resistor prevented any significant current from flowing.

By far the most common non-lighting use was as a part of a relaxation oscillator. Consider a circuit with a resistor and a capacitor, but the capacitor has a neon bulb across it. The capacitor will charge until it hits the neon bulb’s trigger voltage. The bulb will light and discharge the capacitor until it drops below the holding voltage for the bulb. Then the process starts over. You could use neons to make a clock.

Long History

The NE-2 could create high-voltage regulator circuits (from Elementary Electronics, 1965)
[E. Norbert Smith] wrote about the “1001” uses for the NE-2 — probably not an exaggeration, but [Smith] didn’t get that many in the article — in a 1965 Elementary Electronics magazine article.

The circuits he shows include a 50 V regulated power supply. (Regulators weren’t held to the same standard in those days as we would expect now.) Need 150 V? Use three of them. Or put them in parallel to improve regulation performance.

Some of the circuits are probably not useful if you aren’t building with tubes. And, of course, if you aren’t building with tubes, you are less likely to have the high voltages you need, so there is that.

He also covers the classic self-indicating fuse and the relaxation oscillator. Of course, if you can make one neon bulb blink, you can also make two blink alternately. Blink it fast enough and you can make a code practice oscillator with just a few parts and a 90 V battery.
A 100 kHz oscillator gets the divide by 10 treatment with a simple neon bulb circuit (from Elementary Electronics, 1965)
If you wondered how neon bulbs could handle logic, that same article will answer that question, too. Just be aware that a logic 1 is 10 V — not a problem — but a logic 0 is -10 V. The nice thing about demonstrating logic circuits with neon bulbs is that you don’t need a logic probe or scope to see the state of the machine.

There were many other ways to use these bulbs. Since the trigger voltage was stable, you could use it as a voltage indicator if you coupled it with a voltage divider. In fact, many cheap AC socket testers still work this way. A typical circuit for a capacitor checker could be found in “36 Time Tested Circuits,” a book from Popular Electronics.
This capacitor tester required a keen eye and sense of timing. From a collection of circuits from Popular Electronics, 1992.
The capacitor is hooked up to the AC line via some 470 kΩ resistors. If you connect a capacitor to it, the neon bulb should light up. If not, it is open. When you push the button, you switch to DC, and you should be able to see one side of the neon bulb dim. If it doesn’t dim or doesn’t go all the way off, the capacitor is shorted or leaky. Supposedly, you could get a feel for the value of the capacitor by how long it took half of the bulb to go out. Makes you appreciate your digital capacitance meter, right?

Why Gone?

Why do you so rarely see neon bulbs today? They are still around, but the number of circuits you have where you have the requisite 100 V or so to drive them is not what it used to be. On top of that, as an indicator, an LED is usually a far better choice.

If you want negative resistance, your choices are less obvious. Some special diodes present a negative resistance in certain operating regimes, and you can coax the behavior from some transistors. However, as a matter of practicality, today, you’d probably just use an active switch and be done with it, especially for an oscillator circuit. Then again, if you really want an oscillator, as we are always reminded, you can do it with a 555, among other methods.

We have no doubt that [Smith] was right. There are probably at least 1,001 different uses, but you get the idea. Did you use an NE-2 for something interesting? Let us know about it in the comments. Still want more neon bulb circuits? We’ve seen plenty.

hackaday.com/2025/08/11/neon-b…

If you used the internet at home a couple of decades or more ago, you’ll know the characteristic sound of a modem connecting to its dial-up server. That noise is a thing of the past, as we long ago moved to fibre, DSL, or wireless providers that are always on. It’s a surprise then to read that AOL are discontinuing their dial-up service at the end of September this year, in part for the reminder that AOL are still a thing, and for the surprise that in 2025 they still operate a dial-up service.

There was a brief period in which instead of going online via the internet itself, the masses were offered online services through walled gardens of corporate content. Companies such as AOL and Compuserve bombarded consumers with floppies and CD-ROMs containing their software, and even Microsoft dipped a toe in the market with the original MSN service before famously pivoting the whole organisation in favour of the internet in mid 1995. Compuserve was absorbed by AOL, which morphed into the most popular consumer dial-up ISP over the rest of that decade. The dotcom boom saw them snapped up for an exorbitant price by Time Warner, only for the expected bonanza to never arrive, and by 2023 the AOL name was dropped from the parent company’s letterhead. Over the next decade it dwindled into something of an irrelevance, and is now owned by Yahoo! as a content and email portal. This dial-up service seems to have been the last gasp of its role as an ISP.

So the eternal September, so-called because the arrival of AOL users on Usenet felt like an everlasting version of the moment a fresh cadre of undergrads arrived in September, may at least in an AOL sense, finally be over. If you’re one of the estimated 0.2% of Americans still using a dial-up connection don’t despair, because there are a few other ISPs still (just) serving your needs.

hackaday.com/2025/08/11/end-of…

Gli esperti di Lumia hanno pubblicato un’indagine tecnica chiamata AppleStorm, in cui si sostiene che l’assistente vocale Siri trasmetta ai server Apple più dati utente di quanti ne siano necessari per completare le attività. In particolare, l’attenzione si è concentrata sui messaggi dettati tramite Siri nelle app di messaggistica WhatsApp e iMessage: a quanto pare, vengono inviati ai server dell’azienda anche se l’attività può essere elaborata localmente, senza accedere ai sistemi cloud.

Apple dichiara elevati standard di privacy e utilizza un modello di intelligenza artificiale ibrido che combina l’elaborazione locale con il servizio cloud Private Cloud Compute (PCC). Tuttavia, è emerso che Siri accede anche ad altri server che non fanno parte dell’architettura PCC. Tra questi, i server di dettatura, l’infrastruttura di ricerca (sottodominio smoot.apple.com) e server di estensione Apple Intelligence separati, attraverso i quali, ad esempio, avviene l’interazione con ChatGPT.

Durante gli esperimenti, i ricercatori hanno utilizzato gli strumenti mitmproxy e Frida su macOS Sequoia con Apple Intelligence abilitata. Semplici query come “Ciao” o “Che ore sono?” venivano elaborate localmente. Tuttavia, quando si chiedeva informazioni sul meteo, venivano registrate due connessioni esterne: una al server di riconoscimento vocale, la seconda al servizio di ricerca. L’analisi dei dati trasmessi ha mostrato che Siri raccoglie automaticamente informazioni sulle applicazioni installate sul dispositivo, anche se sono in esecuzione in un ambiente virtuale. Pertanto, quando si chiedeva informazioni sul meteo, le chiamate venivano registrate sia all’applicazione Apple Weather integrata che all’applicazione Windows nell’ambiente Parallels.

Inoltre, i dati inviati contenevano le coordinate esatte della posizione dell’utente. Anche con la trasmissione della geolocalizzazione formalmente abilitata, tali dettagli sarebbero stati ridondanti per una richiesta di informazioni meteo. L’analisi dei pacchetti ha anche rivelato la trasmissione di metadati relativi ad altre applicazioni, fino ai nomi dei file e dei processi aperti al momento della richiesta a Siri.

La trasmissione del contenuto dei messaggi solleva interrogativi particolarmente acuti. Utilizzando Siri per inviare una frase tramite WhatsApp, si è scoperto che il testo, il numero del destinatario e altri attributi del messaggio venivano inviati ai server Apple e non all’infrastruttura PCC. Tuttavia, la funzionalità non dipende dal lato server: anche quando le connessioni sono bloccate, il messaggio viene inviato correttamente. Ciò indica che l’invio al cloud avviene senza necessità tecnica.

Nel tentativo di chiarire se questo sia correlato alle specifiche dell’integrazione di WhatsApp tramite SiriKit, il ricercatore ha creato una propria applicazione basata sulla documentazione Apple, riscontrando un comportamento identico: anche i messaggi inviati tramite Siri dall’applicazione di prova venivano indirizzati ai server Apple. Un quadro simile si osserva con iMessage.

La complessità delle policy sulla privacy contribuisce ad aumentare la confusione. Siri e Apple Intelligence sono regolati da documenti diversi. Di conseguenza, due comandi quasi identici – ad esempio “Che tempo fa oggi?” e “Chiedi a ChatGPT che tempo fa?” – vengono elaborati da sistemi diversi con diversi livelli di protezione e diverse condizioni di raccolta dati. L’utente non ha modo di sapere quale sottosistema verrà utilizzato.

Apple ha riconosciuto il trasferimento di dati, ma non lo ha considerato un problema di Apple Intelligence . Ha invece attribuito parte della colpa agli sviluppatori terzi che utilizzano SiriKit. Tuttavia, Siri stessa sta chiaramente inviando più dati del necessario, e lo fa all’insaputa dell’utente. La trasparenza è uno degli slogan principali di Apple in materia di intelligenza artificiale, ma nella pratica viene implementata in modo selettivo.

L'articolo Siri invia i dati ad Apple senza preavviso: AppleStorm rivela la verità proviene da il blog della sicurezza informatica.

Linus Torvalds ha duramente criticato il primo lotto di patch RISC-V proposte per l’inclusione in Linux 6.17, affermando che le modifiche sono arrivate troppo tardi e contenevano quella che lui ha definito “spazzatura” non correlata a RISC-V e che interessava gli header comuni del kernel.

Era particolarmente infastidito dalla nuova macro helper make_u32_from_two_u16(), che secondo Torvalds rendeva il codice meno chiaro e peggiorava le cose. Notò che la semplice scrittura del form (a mostrava immediatamente cosa stava succedendo, mentre l’uso dell'”helper” oscurava l’ordine delle parole e introduceva ambiguità.
No, questa è spazzatura ed è arrivata troppo tardi. Ho chiesto un ritiro anticipato.richieste perché sono in viaggio, e se non riesci a seguire questa regola, almeno rendi le richieste di pull *buone*.Ciò aggiunge vari elementi indesiderati che non sono specifici di RISC-V ai file di intestazione generici.E con "spazzatura" intendo davvero. Questa è roba che nessuno dovrebbe inviami, figuriamoci in ritardo in una finestra di unione.Come questo folle e inutile "helper" make_u32_from_two_u16().Quella cosa rende il mondo un posto peggiore in cui vivere. È spazzatura inutile che rende incomprensibile qualsiasi utente, e attivamente *PEGGIO* che non usare quello stupido "aiutante".
Torvalds ha sottolineato che tali modifiche non dovrebbero comparire nelle intestazioni generali, né tantomeno essere apportate alla fine della finestra di merge. Ha avvertito che non accetterà più richieste di pull tardive né consentirà la creazione di “spazzatura” al di fuori dell’albero dell’architettura RISC-V.

Secondo lui, gli autori potranno riprovare queste modifiche solo nella versione 6.18 e solo all’inizio della finestra di unione, senza modifiche controverse e inutili.

La vicenda dimostra che, anche in un ecosistema aperto e collaborativo come quello di Linux, l’inclusività non significa accettare qualsiasi contributo senza filtro. L’open source nasce per essere accessibile, ma richiede disciplina, coerenza e qualità tecnica. Come ha dimostrato Torvalds, le regole di integrazione e revisione servono a preservare la stabilità e la chiarezza del codice, evitando l’introduzione di modifiche inutili o dannose.
Ma l’open source non doveva essere inclusivo? Sì, ma inclusivo non vuol dire indulgente con la “spazzatura”: vuol dire garantire che ogni contributo sia valido, utile e ben integrato nell’interesse di tutta la comunità.

L'articolo Linus Torvalds: “Questa è Spazzatura”! Critico per la patch RISC-V per Linux 6.17 proviene da il blog della sicurezza informatica.

È solo grazie al lavoro di questi cronisti che la tragedia di Gaza è sotto gli occhi del mondo, visto che l’esercito israeliano ha sempre negato l’accesso ai giornalisti indipendenti, lasciando spazio agli embedded sotto controllo. Proprio nelle ore in cui venivano uccisi Anas Al- Sharif e i suoi colleghi, sulla tv pubblica (RaiNews 24) veniva trasmessa senza filtri la conferenza stampa di Netanyahu. Episodi che devono far riflettere la categoria sul ruolo dell’informazione nei conflitti, sulla necessità di raccontare e testimoniare i fatti, di circostanziare le dichiarazioni, di sottrarsi alle pressioni delle propagande. È più che mai necessaria una vasta mobilitazione per difendere le ragioni di un’informazione libera e indipendente, il diritto e dovere di essere testimoni sul campo dei fatti.

La Segreteria dell’ASR

dicorinto.it/associazionismo/s…

Smartphones boggle my mind a whole lot – they’re pocket computers, with heaps of power to spare, and yet they feel like the furthest from it. As far as personal computers go, smartphones are surprisingly user-hostile.

In the last year’s time, even my YouTube recommendations are full of people, mostly millennials, talking about technology these days being uninspiring. In many of those videos, people will talk about phones and the ecosystems that they create, and even if they mostly talk about the symptoms rather than root causes, the overall mood is pretty clear – tech got bland, even the kinds of pocket tech you’d consider marvellous in abstract. It goes deeper than cell phones all looking alike, though. They all behave alike, to our detriment.

A thought-provoking exercise is to try to compare smartphone development timelines to those of home PCs, and see just in which ways the timelines diverged, which forces acted upon which aspect of the tech at what points, and how that impacted the alienation people feel when interacting with either of these devices long-term. You’ll see some major trends – lack of standardization through proprietary technology calling the shots, stifling of innovation both knowingly and unknowingly, and finance-first development as opposed to long-term investments.

Let’s start with a fun aspect, and that is hackability. It’s not perceived to be a significant driver of change, but I do believe it to be severely decreasing chances of regular people tinkering with their phones to any amount of success. In other words, if you can’t hack it in small ways, you can’t really make it yours.

Can’t Tinker, Don’t Own

In order to tinker with your personal computer, you need just that, the computer itself. Generally, you need a whole another computer to hack on your smartphone; sometimes you even need a custom cable, and it’s not rare you can’t do it at all. Phone tinkering is a path you explicitly set out to do, whereas computer-based hacking is something you can do idly.
A Nokia N900 in hands of a user (by Victorgrigas, CC BY-SA 3.0)
There’s good reasons for this, of course – first, a phone was generally always a “subservient” device not meant or able to be used as a development bench unto itself. Then – phones started really growing in an age and an environment where proprietary technology reigned supreme, with NDAs and utter secrecy (particularly for GSM modems with their inordinate amount of IP) being an especially prominent fixture in the industries surrounding phones. Even Android’s open-source technology was mostly for manufacturers’ benefit rather than a design advantage for users, as demonstrated by the ever-worsening non-open-source driver situation.

Only a few phones ever bucked these trends, and those that did, developed pretty devoted followings if the hardware was worthwhile. Just look at the Nokia N900 with its hardware capability and alt OS support combo, Pixel phones with their mainline kernel support letting alternative OSes flourish, or old keypad Motorolas with leaked baseband+OS source code. They’re remembered pretty fondly, and it’s because they facilitated hacking, on-device or even off-device.

Hacking starts by probing at a device’s inner workings, deducing how things work, and testing the boundaries, but it doesn’t happen when boundaries are well-protected and hidden away from your eyes. A typical app, even on Android, is surprisingly non-explorable, and unlike with PCs, again, if you want to explore it, you need a whole another device. Does it benefit app developers? For sure. I also have a strong hunch it doesn’t benefit users that we could otherwise see become developers.

Part of it is the need to provide a polished user experience, a respectable standard to have, especially so for producing pocket computers to be used by millions of people at once. However, I’d argue that modern phones are suffocating, and that the lack of transparency is more akin to encasing an already reliable device in epoxy for no reason. A device designed to never ever challenge you, is a device that can’t help you grow, and it’s not really a device you can grow attached to, either.

Of course, complaints are one thing, and actionable suggestions is another.

What Do?

If I were asked how to fix this, I wouldn’t limit myself to opening filesystems back up to a user’s exploration habits, beyond the way they were open even in early Android days. I think modern phones could use a pre-installed Python interpreter, with a healthy amount of graphics libraries, a decent amount of control over the system, snappy well-configured autocomplete, and a library of example scripts you could edit in place; essentially, an Arduino IDE-like environment.

In other words, let people easily program phones to flash the screen every time an SMS from a specific person is received, or start audio recording when the user taps the touchscreen three times as the phone’s locked, or send accelerometer movements into a network socket as fast as the OS can receive them. Then, let them wrap those programs into apps, share apps easily with each other, and, since the trend of fast obsolescence requires regular collectie infusions of cash, transfer them from phone to phone quickly.

By the way, if days of Bluetooth and IrDA transfers evaded you, you missed out. We used to stand next to each other and transfer things from one phone to another, a field previously handled, but nowadays these things are somehow relegated to proprietary technologies like Airdrop. This isn’t a problem for personal computers, in fact, they somehow keep getting better and better at it; just recently, I transferred some movies between two laptops using a Thunderbolt cable during a flight, and somehow, this was one of the few “wow” moments that I’ve had recently with consumer-grade tech.

The idea is pretty simple on its own – if phones are to be personal computers, they should be very easy to program.

The Doohickey Port

What about a bonus suggestion, for hardware customization? USB-C ports are really cool and powerful, but they’re relatively bespoke, and you only ever get one, to be unplugged every time you need to charge or sync. Plus, even if you have OTG, all that 5V step-up action isn’t great for the battery, and neither are USB hardware/firmware stacks.

I like I2C. Do you like I2C? I know most of you do. I enjoy I2C a lot, and I like how it’s decently well standardized, to the point things tend to just work. It’s not as great at as many things as USB can be, but it’s also comparably low-frills, you don’t need a software stack or a hefty bespoke board. For the most part, with I2C, you can just send bytes back and forth. It’s a low-bandwidth yet high-impact bus, with a healthy amount of devices you can attach to it. Also, CPUs tend to have plenty of I2C ports to go around, often leaving a good few to spare.

What else? Keeping up with the times, these days, you can manufacture flex PCBs decently quickly, with stiffener at no extra cost, and for dirt cheap, too. On a physical level, phones tend to come with cases, overwhelmingly so. In a way, there’s suddenly plenty of free space on the back of a phone, for those with the eyes to see, and that’s after accounting for the ever-increasing camera bump, too.

My bonus idea to make phones more customizable at low entry level, would be an I2C accessory port. In effect, a latch-less FFC socket with exposed I2C, and some 3.3V at non-negligible power. Of course, protect all lines electrically, current-limit the 3.3V and make its power switchable. With modern tech, you don’t need to compromise waterproofing, either, and you can add a whole bunch of protection to such a port.

From there, you can get GPIOs, you can get PWM, and so much more. You could have a reasonably simple GPIO expansion, but also a fully-fledged board with DACs and ADCs bolted on, or a servo control board, or an extra display of the kind phone designers like to add once in a generation, only to find it never be used by third-party apps as sales numbers never really reach the point of wider adoption. Experimental chording keyboards, touch surfaces, thermal pixel sensors,

Does it feel like you’ve seen that implemented? Of course, this resembles the PinePhone addon scheme, with FPCs wedged between the back cover and a set of pogo pins. Notably though, this kind of standard is about having compatibility between models and even manufacturers. You also shed a lot of Bluetooth cruft generally required when developing accessories for modern phones. It requires a flex PCB, sure, but so do pogopin schemes, and there’s barely any mechanics compared to a pogopin array. Is it more fragile than a pogopin array? Yes, but it’s fragile addon-side, not as much phone-side, whereas pogopin arrays tend to be the opposite.

A Sketch And A Dream

Of course, this also relies on the aforementioned Python interpreter, and a decent exposed I2C API. If the only way to tinker with yours and others’ accessories is through bespoke intransparent apps you need a whole different device to make (or modify, if you’re lucky), the hackability aspect wanes quick. In essence, what I’m proposing is a phone-contained sandbox, not in a security sense, but in an educational sense. Personal computers have been serving as sandboxes for decades now, and yet, phones could never really fulfill such a niche.

I think one of the big problems with modern phones is that a phone is barely ever a sandbox, all for mostly historic reasons. Now, if that’s the case, we should make it one. If it’s a sandbox, then it can be molded to your needs through hacking and tinkering. If it can be molded to your needs, then it belongs to you in a whole different way. Will this happen? Quite unlikely, though, I do feel like making some prototypes. Instead, it’s about highlighting a significant aspect that contributes to tech alienation, and imagining how we could solve it given enough market buy-in.

hackaday.com/2025/08/11/smartp…

Una falla di sicurezza recentemente individuata nel noto software per la compressione di file 7-Zip ha destato considerevoli timori all’interno della comunità dedicata alla sicurezza informatica. Tutte le versioni di 7-Zip antecedenti alla 25.01 sono interessate da tale vulnerabilità, la quale scaturisce da una gestione non appropriata dei collegamenti simbolici nel corso dell’estrazione dei file.

Si trattaCVE-2025-55188, scoperto e segnalato dal ricercatore di sicurezza Landon il 9 agosto 2025, consente agli aggressori di eseguire scritture arbitrarie di file durante l’estrazione dell’archivio, portando potenzialmente all’esecuzione di codice su sistemi vulnerabili. Quando gli utenti estraggono un archivio creato in modo dannoso contenente link simbolici non sicuri, 7-Zip segue questi link durante l’estrazione, consentendo agli aggressori di scrivere file in posizioni esterne alla directory di estrazione prevista.

La vulnerabilità sfrutta il meccanismo di elaborazione dei link simbolici di 7-Zip. Secondo l’avviso di sicurezza, l’attacco richiede condizioni specifiche per avere successo. Una volta soddisfatte queste condizioni, gli aggressori possono creare archivi dannosi contenenti link simbolici che puntano a file di sistema sensibili. Una volta estratti, 7-Zip segue questi link simbolici, consentendo agli aggressori di sovrascrivere file critici come chiavi SSH, file .bashrc o altre configurazioni di sistema.

Per i sistemi Linux, gli aggressori necessitano che l’obiettivo utilizzi una versione vulnerabile di 7-Zip durante l’estrazione di un formato di archivio che supporti i link simbolici, come file ZIP, TAR, 7Z o RAR. Il processo di sfruttamento è più semplice negli ambienti Linux. Sui sistemi Windows, è necessario soddisfare requisiti aggiuntivi per uno sfruttamento efficace. Il processo di estrazione 7-Zip deve disporre di privilegi elevati o operare in modalità sviluppatore Windows per creare collegamenti simbolici. Questo rende i sistemi Windows meno vulnerabili, ma non immuni all’attacco.

Nonostante abbia ricevuto un punteggio CVSS di 2,7, che lo classifica come di bassa gravità, gli esperti di sicurezza avvertono che l’impatto pratico potrebbe essere molto più significativo. La vulnerabilità consente agli aggressori di ottenere accessi non autorizzati ed eseguire codice prendendo di mira file sensibili che controllano il comportamento del sistema. La vulnerabilità è particolarmente preoccupante perché 7-Zip visualizza i percorsi dei file prima della risoluzione del collegamento simbolico, consentendo agli aggressori di nascondere la vera destinazione delle loro scritture dannose.

La versione 25.01 di 7-Zip, rilasciata il 3 agosto 2025, risolve questa vulnerabilità con una gestione avanzata dei link simbolici. L’aggiornamento include significativi miglioramenti alla sicurezza per impedire la creazione di link simbolici non sicuri durante l’estrazione degli archivi.

L'articolo Nuova falla in 7-Zip: link simbolici trasformano un’estrazione in un hack proviene da il blog della sicurezza informatica.

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and I'm having some serious FOMO about missing out on the Oasis reunion concerts touring the United Kingdom. In honor of that, I give you this banger.

— Everything you need to know about the upcoming AI Impact Summit to be hosted by India early next year.

— Ahead of Donald Trump's meeting with Vladimir Putin on Aug. 15, Russia's state-based media is in a full-court propaganda press.

— Who's who in the recent shake-up in the European Commission's Directorate-General for Communications Networks, Content and Technology.

Let's get started:

digitalpolitics.co/newsletter0…

Sometimes, you build a thing because you need a thing. Sometimes, you do it just to see if you can. This project is in category two: [polymatt] didn’t need to create a floppy disk from scratch-– plenty of old disks still exist– but we’re glad he made the attempt because it makes for a fascinating video that’s embedded below.

Some of you are going to quibble with the terminology [polymatt] uses in this video: first of all, he didn’t begin by creating the universe, so is he really starting “from scratch”? Secondly, the “floppy” format he’s attempting to copy is a 3½” diskette, which does not flop at all. Alas, the vernacular has decided that “stiffy” means something totally different that you ought not to hand a co-worker, and “floppy” is the word in use now.

Choosing newer stiff-walled medium does allow him to practice his CNC skills and make the coolest-looking floppy enclosure we’ve ever seen. (It turns out brushed aluminum is even cooler-looking than the translucent neon ones.) On the other hand, we can’t help but wonder if a lower-density format 5¼” disk might have been an easier hurdle to jump. The diskette that was built does magnetize, but it can’t read or write actual files. We wonder if the older format might have been more forgiving of grain size and composition of his ferrite coating. Even more forgiving still would be to use these techniques to make magnetic tape which is a perfectly viable way to store data.

Instead of storing data, you could make your own cleaning floppy. It’s not like data storage was really the point here, anyway– its not the destination, but the journey. So whatever you call this DIY diskette, please don’t call it a flop.

Thanks to [Anonymous] for the stiff tip! If you want to slip us your tip, rest assured we will grab on and milk it for all it is worth to our readers.

youtube.com/embed/TBiFGhnXsh8?…

hackaday.com/2025/08/11/dont-s…

Running out of filament mid-print is a surefire way to ruin your parts and waste a lot of time. [LayerLab] was sick of having this problem, and so sought to find a proper solution. Unfortunately, between off-the-shelf solutions and homebrew attempts, he was unable to solve the problem to his satisfaction.

[LayerLab] had a simple desire. He wanted his printer to swap to a second spool of filament when the first one runs out, without ruining or otherwise marring the print. It sounds simple, but the reality is more complicated. As an Australian, he couldn’t access anything from InfinityFlow, so he first attempted to use the “auto refill” features included on the Bambu Labs AMS 2. However, it would routinely make filament changes in outside wall areas of a print, leaving unsightly marks and producing poorer quality parts.

His next effort was to use the Wisepro Auto Refill Filament Buffer. It’s a feeder device that takes filament from two spools, and starts feeding the backup spool in to your printer when the primary spool runs out. Unfortunately, [LayerLab] had a cavalcade of issues with the device. It would routinely feed from the secondary spool when there was still primary filament available, jamming the device, and it didn’t come with a proper mounting solution to work with consumer printers. It also had bearings popping out the top of the housing. Attempts to rework the device into a larger twin-spool rig helped somewhat, but ultimately the unreliability of the Wisepro when changing from one spool to another meant it wasn’t fit for purpose. Its feeder motors were also to trigger the filament snag cutters that [LayerLab] had included in his design.

Ultimately, the problem remains unsolved for [LayerLab]. They learned a lot along the way, mostly about what not to do, but they’re still hunting for a viable automatic filament changer solution that suits their needs. Filament sensors help, but can only do so much. If you reckon you know the answer, or a good way forward, share your thoughts in the comments. Video after the break.

youtube.com/embed/zvCZANVXaKw?…

hackaday.com/2025/08/11/the-tr…

Affidarsi ciecamente a ChatGPT per consigli di fitness o piani alimentari può essere rischioso. Anche le raccomandazioni sulla salute fornite dall’intelligenza artificiale, infatti, possono mettere in pericolo la vita. Un caso recente lo dimostra: un uomo di 60 anni di New York è finito in ospedale dopo aver seguito alla lettera il suggerimento di ChatGPT di ridurre drasticamente il consumo di sale.

Secondo i medici, l’uomo ha quasi azzerato l’apporto di sodio nella dieta per diverse settimane, provocando un calo pericoloso dei livelli di sodio nel sangue, una condizione nota come iponatriemia. La famiglia ha dichiarato che l’uomo si era affidato al piano alimentare elaborato dall’IA senza consultare prima un medico.

Qualche giorno fa, gli esperti avevano affermato che non si dovrebbero seguire consigli medici forniti dall’IA, poiché non è ancora sufficientemente sviluppata per sostituire un medico. È possibile che in futuro l’IA sostituisca i medici, ma per ora si dovrebbe evitare di seguire consigli relativi a malattie. Tuttavia, l’uomo è stato dimesso dall’ospedale ed è tornato a casa dopo aver ricevuto le cure necessarie.

Secondo un articolo del Times of India, che ha riportato la notizia, in passato veniva utilizzato in medicina nel XX secolo, ma ora è considerato velenoso in grandi quantità. Seguendo questo consiglio, l’uomo ha acquistato il bromuro di sodio online. Lo ha usato al posto del sale nei suoi alimenti per tre mesi. Durante questo periodo non ha consultato un medico. Questo errore gli è costato la salute e ha dovuto essere ricoverato in ospedale.

L’uomo non soffriva di alcuna malattia mentale o fisica in precedenza. Ma dopo aver assunto bromuro di sodio, sono iniziati molti gravi problemi. Ha iniziato a provare una paura estrema, ha iniziato ad avere deliri, ha iniziato ad avere molta sete e ha anche iniziato ad avere confusione mentale. Quando è stato ricoverato in ospedale, era così spaventato che si è persino rifiutato di bere acqua. In realtà, aveva la sensazione che qualcosa si fosse mescolato all’acqua. Le indagini hanno rivelato che l’uomo era affetto da “intossicazione da bromuro”.

In ospedale, i medici hanno ripristinato l’equilibrio idrico ed elettrolitico nel corpo del sessantenne. Dopo tre settimane di trattamento, le sue condizioni sono migliorate. È stato dimesso dall’ospedale quando i livelli di sodio e cloruro nel suo corpo sono tornati alla normalità.

L'articolo Un uomo di 60 anni finito in ospedale per tre settimane per i consigli medici di ChatGPT proviene da il blog della sicurezza informatica.

Il Cyberpandino non è solo una Panda trasformata in laboratorio hi-tech, ma un simbolo di resistenza e avventura senza confini. Dopo aver attraversato canyon, deserti e steppe, ora si trova sulle vette eteree dell’Himalaya, a ben 5000 metri di altezza: un traguardo che pochi veicoli possono immaginare. La sfida non si ferma, e il motore ronza tra aria rarefatta e cieli immensi, alimentato dall’entusiasmo instancabile del suo equipaggio .

In quel silenzio ovattato sulle strade senza tempo del Pamir, il Cyberpandino assomiglia a un essere vivente che sfida la gravità e l’oblio. Tra curve mozzafiato e valli sospese sopra il mondo, ogni colpo di gas diventa una dichiarazione: “Non si molla, non si ferma”. Il team affronta la fatica, la mancanza d’ossigeno e le condizioni più estreme con saldatori in una mano e script in un’altra, mantenendo viva la scintilla di creatività hacker e innovazione maker .

Lungo il percorso del Mongol Rally, questa Panda del 2003 ha già dimostrato di sapersi reinventare: fari LED stampati in 3D, interfaccia touchscreen “Panda OS”, sensori OBD2, GPS, IMU, persino misuratori di qualità dell’aria. Ora, mentre si arrampica verso le cime dell’Himalaya, questi strumenti diventano ancora più preziosi, pronti a raccontare ogni respiro, ogni tremito del motore, ogni sublime vertigine del viaggio .

In questa metà dell’avventura, immersi tra nuvole e vette, il Cyberpandino diventa metafora: un mix perfetto di incoscienza visionaria e resilienza pura. È la cultura hacker che prende forma su quattro ruote, sfidando la logica del comfort e della praticità per abbracciare il caos, l’imprevisto e il fascino dell’ignoto. Ed è proprio lì, in mezzo al nulla cosmico, che si sente più vivo che mai .

La vetta non è mai un punto d’arrivo, ma un invito a continuare. Anche a 5000 metri, tra rocce cromate dal gelo e strade che sembrano sospese tra passato e futuro, il Cyberpandino non arretra. In quel “tetto del mondo”, tra l’Himalaya e il cuore pulsante dell’Asia centrale, il viaggio continua — tra freddo penetrante, panorami surreali e la promessa che, anche dove tutto sembra fermo, l’avventura non si ferma mai.

L'articolo Verso la Meta! Pamir Highway: il Cyberpandino a 5000 metri sul tetto del mondo proviene da il blog della sicurezza informatica.

I ricercatori di Eclypsium hanno identificato pericolose vulnerabilità nelle webcam Lenovo 510 FHD e Lenovo Performance FHD che possono essere trasformate in dispositivi di attacco di tipo BadUSB. Il problema, denominato BadCam, è stato presentato al DEF CON 33. Gli esperti sottolineano che questo è il primo caso documentato in cui un dispositivo Linux già connesso a un computer può essere riprogrammato da remoto e utilizzato come dispositivo un USB dannoso.

Gli attacchi BadUSB sono noti dal 2014, quando Karsten Nohl e Jakob Lell dimostrarono la capacità di modificare il firmware dei dispositivi USB per eseguire silenziosamente comandi e lanciare codice dannoso. A differenza dei malware tradizionali memorizzati nel file system, tali attacchi operano a livello di firmware, rendendoli praticamente invisibili ai software antivirus. Questi dispositivi possono emulare una tastiera, intercettare l’input, installare backdoor, reindirizzare il traffico e rubare dati.

Nello scenario descritto dai ricercatori, un aggressore può inviare una webcam compromessa alla vittima o collegarla fisicamente a un computer, per poi assumerne il controllo da remoto. Il dispositivo inizia quindi a fungere da emulatore HID o da dispositivo USB aggiuntivo, immettendo comandi, inviando payload e inserendosi nel sistema, mantenendo al contempo le funzionalità di una normale telecamera. Inoltre, una telecamera modificata in questo modo può reinfettare un computer anche dopo aver reinstallato il sistema operativo.

La vulnerabilità è causata dalla mancanza di autenticazione del firmware e dalla presenza del supporto USB Gadget in Linux. Ciò consente di compromettere completamente la parte software del dispositivo. Dopo la scoperta del problema nell’aprile 2025, Lenovo ha rilasciato un aggiornamento firmware alla versione 4.8.0 e, in collaborazione con SigmaStar, ha preparato uno strumento per correggere il difetto.

Gli esperti sottolineano che questo attacco dimostra una pericolosa lacuna nel modello di fiducia: sia i sistemi aziendali che quelli domestici spesso si fidano automaticamente delle periferiche in grado di eseguire codice e accettare istruzioni remote. I dispositivi vulnerabili possono rappresentare una minaccia non solo per il computer in uso, ma anche per qualsiasi altro a cui vengano successivamente connessi.

L'articolo BadUSB. Uno Spyware nella webcam: il bug Lenovo che minaccia milioni di PC proviene da il blog della sicurezza informatica.