Hai la carta di credito in tasca? I Criminal hacker ringraziano!
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento delle vulnerabilità dei dispositivi.
I ricercatori di ThreatFabric hanno segnalato il trojan PhantomCard, che utilizza la tecnologia di comunicazione contactless per condurre attacchi relay. Gli aggressori ottengono i dati della carta della vittima trasmettendoli tramite un server controllato al dispositivo di un complice situato vicino a un terminale di pagamento o a un bancomat. Questo crea un canale che consente di effettuare transazioni come se la carta fosse fisicamente in possesso del criminale.
PhantomCard viene distribuito tramite pagine Google Play false, camuffate da app “Proteção Cartões”, con false recensioni positive. Una volta installato, il programma chiede all’utente di collegare una carta di credito allo smartphone “per la verifica” e di inserire un PIN, che viene inviato all’aggressore. Un’applicazione equivalente sul dispositivo del complice garantisce la sincronizzazione con il terminale di pagamento.
ThreatFabric afferma che l’azienda è dietro lo sviluppo del malware brasiliano Go1ano, che utilizza la piattaforma cinese NFU Pay, che offre servizi simili nell’ambito di un servizio di abbonamento per la diffusione di malware. Soluzioni simili includono SuperCard X , KingNFC e X/Z/TX-NFC. Gli esperti avvertono che tali servizi ampliano la superficie di attacco rimuovendo le barriere linguistiche e infrastrutturali.
I rapporti di Resecurity di luglio ha rilevato che i paesi del Sud-est asiatico, in particolare le Filippine, sono diventati un banco di prova per le frodi contactless. Lì, l’aumento dei pagamenti NFC, soprattutto per piccoli importi che non richiedono un PIN, rende le transazioni non autorizzate più facili e difficili da tracciare.
Allo stesso tempo, K7 Security ha identificato una campagna in India con un malware Android chiamato SpyBanker, distribuito tramite WhatsApp sotto le mentite spoglie di un’app di assistenza clienti bancaria. Modifica il numero di inoltro di chiamata con uno preimpostato per intercettare le chiamate in arrivo e raccoglie dati della scheda SIM, informazioni bancarie, SMS e notifiche.
Un altro vettore di attacco in India riguarda app di credito false, spacciate per grandi banche, scaricate da pagine di phishing. Secondo McAfee, questi APK agiscono come “dropper”, scaricando un modulo dannoso una volta installati. All’utente viene presentata un’interfaccia che imita quella reale, con moduli per l’inserimento di nome completo, numero di carta, CVV, data di scadenza e numero di telefono.
La funzionalità integrata consente al miner di criptovalute XMRig di essere avviato quando vengono ricevuti determinati messaggi tramite Firebase Cloud Messaging. Per mascherare la pagina, vengono caricate immagini e script da siti bancari reali, aggiungendo pulsanti di download che portano a file infetti.
La diversità degli schemi utilizzati dimostra che i dispositivi mobili stanno diventando sempre più il centro di attacchi finanziari e che la fiducia nei canali di comunicazione e di pagamento familiari sta diventando il principale anello vulnerabile nella protezione degli utenti.
L'articolo Hai la carta di credito in tasca? I Criminal hacker ringraziano! proviene da il blog della sicurezza informatica.
A Mestre un presidio per la Palestina. Con Nandino Capovilla
@Giornalismo e disordine informativo
articolo21.org/2025/08/a-mestr…
«L’importante non è il megafono, ma il messaggio»: una volta subita l’espulsione da Israele motivata dal suo essere “pericoloso per la sicurezza nazionale”, è con questa affermazione che Nandino
Il lungo post che segue, l'ho trovato su fb. I riferimenti delle dichiarazioni ci sono, ma vanno verificati tutti. Se qualcuno vuole darmi una mano, possiamo linkare la fonte di ogni affermazione nei commenti in basso, se la troviamo, oppure indicare che quella citazione non si trova e che potrebbe essere fake.
La popolo eletto di Ben Gurion, Menachem Begin e altri
Dissero:
👉 "La nostra razza è la Razza dei maestri. Siamo dei divini su questo pianeta. Noi siamo tanto diversi dagli esseri umani inferiori che restano degli insetti. Infatti, rispetto alla nostra razza, le altre razze sono bestie, animali, bovini al massimo. Le altre razze sono escrementi umani. Il nostro destino è quello di governare queste razze inferiori. Il nostro regno terreno sarà governato dal nostro leader con una verga di ferro. Le masse leccheranno i nostri piedi e ci serviranno come schiavi." (Menachem Begin, Premio Nobel per la Pace 1978)
👉 David Ben Gurion, durante la guerra: «Se io sapessi che è possibile salvare tutti i figli (ebrei) di Germania trasferendoli in Inghilterra, e solo metà di loro trasferendoli nella terra di Israele, sceglierei la seconda possibilità; perché di fronte a noi non abbiamo solo il numero di questi figli, ma il progetto storico del popolo di Israele» (Shabtai Teveth, «Ben Gurion», 1988,).
👉 «Dobbiamo usare il terrore, l’assassinio, l’intimidazione, la confisca dei terreni e il taglio di tutti i servizi sociali per liberare la Galilea dalla sua popolazione araba» (David Ben Gurion, maggio 1948, to the General Staff. Da «Ben-Gurion, A Biography», di y Michael Ben-Zohar, Delacorte, New York 1978).
👉 «Dobbiamo espellere gli arabi e prendere i loro posti» –(David Ben Gurion, 1937, «Ben Gurion and the Palestine Arabs» Shabtai Teveth, Oxford University Press, 1985).
👉 «Non esiste qualcosa come un popolo palestinese. Non è che siamo venuti, li abbiamo buttati fuori e abbiamo preso il loro paese. Essi non esistevano» (Golda Meir, dichiarazione al The Sunday Times, 15 giugno 1969).
👉 «Come possiamo restituire I territori occupati? Non c’è nessuno a cui restituirli» (Golda Meir, marzo, 1969).
👉 «…Uscimmo fuori, e Ben Gurion ci accompagnò sulla porta. Allon ripeté la sua domanda: cosa si deve fare con la popolazione palestinese? Ben Gurion scosse la mano con un gesto che diceva: cacciarli fuori». (Yitzhak Rabin, è un passo censurato delle memorie di Rabin, rivelato dal New York Times, 23 ottobrer 1979)
👉 «Saranno create, nel corso dei 10 o 20 anni prossimi, condizioni tali da attrarre la naturale e volontaria emigrazione dei rifugiati da Gaza e dalla Cisgiordania verso la Giordania. Per ottenere questo dobbiamo accordarci con re Hussein e non con Yasser Arafat». (Yitzhak Rabin, citato da David Shipler sul New York Times, 04/04/1983)
👉 «I palestinesi sono bestie con due zampe» (Menachem Begin, primo ministro di Israele 1977-83, davanti alla Knesset, citato da Amnon Kapeliouk, “Begin and the Beasts”, New Statesman, June 25, 1982.)
👉 «La partizione della Palestina è illegale. Non sarà mai riconosciuta… Gerusalemme fu e sarà per sempre la nostra capitale. Eretz Israel sarà restaurato per il popolo d’Israele; tutto e per sempre» (Menachem Begin, il giorno dopo il voto all’Onu per la partizione della Palestina).
👉 «I palestinesi saranno schiacciati come cavallette… le teste spaccate contro le rocce e i muri» (Yitzhak Shamir, primo ministro in carica, in un discorso ai «coloni» ebraici, New York Times 1 aprile, 1988).
👉 «Israele doveva sfruttare la repressione delle dimostrazioni in Cina (nei giorni di Tienanmen, ndr.) quando l’attenzione del mondo era concentrata su quel paese, per procedere alle espulsioni di massa degli arabi dei territori (occupati)» (Benyamin Netanyahu, all’epoca vice-ministro degli esteri, già primo ministro, davanti agli studenti della T Bar Ilan University; citazione tratta dal giornale isrealiano Hotam, 24 novembre 1989).
👉 «Se pensassimo che anziché 200 morti palestinesi, 2 mila morti ponessero fine alla guerriglia in un colpo solo, useremmo molto più forza…» (Ehud Barak, primo ministro, citato dalla Associated Press, 16 novembre 2000).
👉 «Mi sarei arruolato in una organizzazione terroristica»: (risposta di Ehud Barak a Gideon Levy, il noto giornalista di Ha’aretz che gli aveva domandato cosa avrebbe fatto se fosse nato palestinese)
👉 «Noi dichiariamo apertamente che gli arabi non hanno alcun diritto di abitare anche in un centimetro di Eretz Israel… Capiscono solo la forza. Noi useremo la forza senza limiti finché i palestinesi non vengano strisciando a noi» (Rafael Eitan, capo dello stato maggiore IDF, citato da Gad Becker in «Yedioth Ahronot», 13 aprile 1983).
👉 «E’ dovere dei leader israeliani spiegare all’opinione pubblica, con chiarezza e coraggio, alcuni fatti che col tempo sono stati dimenticati. Il primo è: non c’è sionismo, colonizzazione o stato ebraico senza l’espulsione degli arabi e la confisca delle loro terre» (Ariel Sharon, allora ministro degli esteri, a un discorso tenuto davanti ai militanti del partito di estrema destra Tsomet – Agence France Presse, 15 novembre 1998).
👉 «Tutti devono muoversi, correre e prendere quante più cime di colline (palestinesi) possibile in modo da allargare gli insediamenti (ebraici) perché tutto quello che prenderemo ora sarà nostro… Tutto quello che non prenderemo andrà a loro.» (Ariel Sharon, Ministro degli esteri d’Israele, aprendo un incontro del partito Tsomet, Agence France Presse, 15 novembre 1998)
👉 «Israele ha il diritto di processare altri, ma nessuno ha il diritto di mettere sotto processo il popolo ebraico e lo Stato di Israele» (Sharon, primo ministro, 25 marzo 2001, BBC Online).
👉 «Quando avremo colonizzato il paese, tutto quello che agli arabi resterà da fare è darsi alla fuga come scarafaggi drogati in una bottiglia» (Raphael Eitan, Capo di Stato Maggiore delle forze armate israeliane, “New York Times”, 14/4/1983).
👉 «Noi possediamo varie centinaia di testate atomiche e missili, e siamo in grado di lanciarli in ogni direzione, magari anche su Roma. La maggior parte delle capitali europee sono bersagli per la nostra forza aerea» (febbraio 2003, Martin Van Creveld, docente di storia militare all’Università Ebraica di Gerusalemme)
👉 «C’è bisogno di una reazione brutale. Se accusiamo una famiglia, dobbiamo straziarli senza pietà, donne e bambini inclusi. Durante l’operazione non c’è bisogno di distinguere fra colpevoli e innocenti». (Ben Gurion, il “padre” di Israele, 1967)
👉 «I villaggi ebraici sono stati costruiti al posto dei villaggi arabi. Voi non li conoscete neanche i nomi di questi villaggi arabi, e io non vi biasimo perché i libri di geografia non esistono più. Non soltanto non esistono i libri, ma neanche i villaggi arabi non ci sono più. Nahlal è sorto al posto di Mahlul, il kibbutz di Gvat al posto di Jibta; il kibbutz Sarid al posto di Huneifis; e Kefar Yehushua al posto di Tal al-Shuman. Non c’è un solo posto costruito in questo paese che non avesse prima una popolazione araba.» (David Ben Gurion, citato in The Jewish Paradox, di Nahum Goldmann, Weidenfeld and Nicolson, 1978, p. 99)
👉 «Tra di noi non possiamo ignorare la verità … politicamente noi siamo gli aggressori e loro si difendono … Il paese è loro, perché essi lo abitavano, dato che noi siamo voluti venire e stabilirci qui, e dal loro punto di vista li vogliamo cacciare dal loro paese.» (David Ben Gurion, riportato a pp 91-2 di Fateful Triangle di Chomsky, che apparve in “Zionism and the Palestinians pp 141-2 di Simha Flapan che citava un discorso del 1938)
👉 «Questo paese esiste come il compimento della promessa fatta da Dio stesso. Sarebbe ridicolo chiedere conto della sua legittimità.» (Golda Meir, Le Monde, 15 ottobre 1971
👉 «Ogni volta che facciamo qualcosa tu mi dici che l’America farà questo o quello… devo dirti qualcosa molto chiaramente: Non preoccuparti della pressione americana su Israele. Noi, il popolo ebraico, controlliamo l’America, e gli americani lo sanno.» (Ariel Sharon, Primo Ministro d’Israele, 31 ottobre 2001, risposta a Shimon Peres, come riportato in un programma della radio Kol Yisrael.)
👉 «Un milione di Arabi non valgono nemmeno l’unghia di un ebreo.» (Rabbi Yaacov Perrin, NY Daily News, Feb. 28, 1994, p.6)
Taiwan, le esportazioni di chip potrebbero sfuggire ai dazi
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Commento a cura di Mali Chivakul, Emerging Markets Economist di J. Safra Sarasin sui dazi e il dollaro Usa e la startmag.it/innovazione/taiwan…
This Polaroid-esque OCR Machine Turns Text to Braille in the Wild
One of the practical upsides of improved computer vision systems and machine learning has been the ability of computers to translate text from one language or format to another. [Jchen] used this to develop Braille Vision which can turn inaccessible text into braille on the go.
Using a headless Raspberry Pi 4 or 5 running Tesseract OCR, the device has a microswitch shutter to take a picture of a poster or other object. The device processes any text it finds and gives the user an audible cue when it is finished. A rotary knob on the back of the device then moves the braille display pad through each character. When the end of the message is reached, it then cycles back to the beginning.
Development involved breadboarding an Arduino hooked up to some MOSFETs to drive the solenoids for the braille display until the system worked well enough to solder together with wires and perfboard. Everything is housed in a 3D printed shell that appears similar in size to an old Polaroid instant camera.
We’ve seen a vibrating braille output prototype for smartphones, how blind makers are using 3D printing, and are wondering what ever happened with “tixel” displays? If you’re new to braille, try 3D printing your own trainer out of TPU.
youtube.com/embed/EfGsyqIRnGQ?…
Google Chrome a tutta Privacy! Un nuovo blocco per gli script in modalità incognito
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFingerprintingProtectionEnabled). Questa funzionalità bloccherà gli script di terze parti che utilizzano tecniche di fingerprinting per identificare nuovamente un utente su diversi siti web.
Nell’implementazione attuale, il blocco non interesserà tutti gli script, ma solo i domini di una speciale Marked Domain List (MDL). La restrizione verrà attivata se uno script di questo tipo viene avviato come terza parte e tenta di estrarre dati senza autorizzazione.
La tecnologia mira a contrastare l’abuso delle API web che consentono di acquisire informazioni aggiuntive sul sistema, ad esempio tramite canvas, WebGL, font o codec audio. Questi metodi vengono spesso utilizzati per creare segretamente un ID utente univoco. Google propone di modificare la specifica Fetch in modo che i browser dispongano di un “hook” standard per bloccare o sostituire le richieste dopo controlli comuni come CSP o contenuti misti.
Test recenti dimostrano che, ad esempio, visitando il sito web di un ristorante che contiene uno script di terze parti integrato con metodi di identificazione digitale (impronte digitali del browser), è possibile generare un ID utente univoco e trasmetterlo, ad esempio, a un sistema pubblicitario. Quest’ultimo, utilizzando lo stesso script su un’altra risorsa, sarà in grado di confrontare i dati e tracciare l’utente senza utilizzare cookie. La nuova funzionalità in modalità di navigazione in incognito blocca il caricamento di tale script, impedendo la creazione di un ID.
Soluzioni simili sono già utilizzate dai concorrenti: Safari ha la funzione Intelligent Tracking Prevention e Firefox ha la Enhanced Tracking Protection .Anche Microsoft Edge offre una protezione anti tracciamento integrata.
A differenza di Firefox e Safari, che bloccano gli script di tracciamento in modalità normale, Chrome attualmente implementa questo approccio solo in modalità di navigazione in incognito e per elenco di domini. Google ha sottolineato che non prevede di abilitare la funzionalità per impostazione predefinita in tutti i browser basati su Chromium.
Se la protezione funziona, nella barra degli indirizzi apparirà un’icona a forma di “occhio“. L’utente potrà disattivare il blocco per un sito specifico o disattivare completamente la funzione nelle impostazioni se interferisce con la risorsa.
Pertanto, la nuova tecnologia di Chrome è progettata per rendere più difficile il tracciamento tramite impronte digitali del browser, ma la sua efficacia dipenderà dalla pertinenza dell’elenco MDL e dalla volontà degli utenti di utilizzare la modalità di navigazione in incognito.
L'articolo Google Chrome a tutta Privacy! Un nuovo blocco per gli script in modalità incognito proviene da il blog della sicurezza informatica.
Dopo 18 anni di silenzio, Anne ricomincia a parlare. La nuova tecnologia BCI dell’università di Berkeley
Diciotto anni dopo che un ictus al tronco encefalico ha lasciato Anne Johnson quasi completamente paralizzata, Questo grazie a un’interfaccia cervello-computer (BCI) che converte il parlato direttamente dai segnali cerebrali. Nel 2005, all’età di 30 anni, l’insegnante e preparatrice di atletica del Saskatchewan ha subito una lesione cerebrale che le ha causato la sindrome locked-in, in cui rimane cosciente ma incapace di parlare o muoversi.
Per anni, ha comunicato attraverso un sistema di eye tracking, parlando a una velocità di circa 14 parole al minuto, significativamente più lenta delle 160 parole che una persona pronuncia normalmente. Nel 2022, è diventata la terza partecipante a uno studio clinico condotto dall’Università della California, Berkeley, e dall’UCSF che mira a ripristinare la parola nelle persone con paralisi grave.
Il sistema neuroprotesico utilizzato registra l’attività elettrica nell’area corticale responsabile dell’articolazione, bypassando le vie di trasmissione del segnale danneggiate. Un impianto con una serie di elettrodi intracranici viene posizionato sulla superficie di quest’area. Quando il paziente cerca di pronunciare le parole, i sensori registrano i modelli caratteristici di attività e li trasmettono a un computer. Gli algoritmi di apprendimento automatico convertono quindi i flussi di segnali neurali in testo, sintesi vocale o espressioni facciali di un avatar digitale, comprese espressioni di base come un sorriso o un’espressione accigliata.
Inizialmente, il sistema funzionava su modelli sequenziali che producevano risultati solo dopo il completamento dell’intera frase, il che causava un ritardo di circa otto secondi. Nel marzo 2025, Nature Neuroscience ha segnalato il passaggio a un’architettura streaming: ora la conversione viene eseguita quasi in tempo reale, con una pausa di circa un secondo.
Per la massima personalizzazione, gli sviluppatori hanno ripristinato il timbro e l’intonazione della registrazione del discorso di nozze di Johnson del 2004 e hanno anche reso possibile scegliere l’aspetto dell’avatar in modo che fosse riconoscibile e trasmettesse segnali visivi familiari.
I responsabili del progetto – il professore associato di ingegneria elettrica e informatica dell’Università della California, Berkeley, Gopala Anumanchipalli, il neurochirurgo dell’Università della California, Berkeley, Edward Chang, e lo studente laureato di Berkeley, Kylo Littlejohn – vedono l’obiettivo finale nella tecnologia plug-and-play che renderebbe i prototipi strumenti clinici standard.
Gli obiettivi a breve termine includono lo sviluppo di impianti completamente wireless che eliminino la necessità di una connessione fisica a un computer e la creazione di avatar più realistici per la comunicazione naturale. In futuro, prevedono di passare a “sosia” digitali in grado di riprodurre non solo una voce, ma anche uno stile di comunicazione familiare insieme a segnali non verbali.
Questa tecnologia è particolarmente importante per un gruppo ristretto ma vulnerabile di persone che hanno perso la parola a causa di ictus, SLA o traumi. Gli sviluppatori sottolineano un aspetto etico fondamentale: la decodifica viene attivata solo quando si tenta consapevolmente di pronunciare le parole. Questo consente all’utente di mantenere il controllo sulla comunicazione e riduce al minimo il rischio di invasione dello spazio personale.
Per Anne, partecipare al programma è stata una pietra miliare: sta valutando la possibilità di lavorare come consulente in un centro di riabilitazione e di condurre conversazioni con i clienti attraverso una neuroprotesi. Con l’attuale latenza di circa un secondo e i modelli di intelligenza artificiale in rapido miglioramento, i gruppi di ricerca sono cauti sulle possibilità che i sistemi di ripristino della voce siano pronti per l’uso di massa nel prossimo futuro. In sostanza, stiamo parlando di una tecnologia che ripristina la voce di coloro che l’hanno persa e rende il dialogo di nuovo naturale, non attraverso una lenta “digitazione oculare”, ma in una forma familiare dal vivo.
L'articolo Dopo 18 anni di silenzio, Anne ricomincia a parlare. La nuova tecnologia BCI dell’università di Berkeley proviene da il blog della sicurezza informatica.
Musk rivela che potrebbe perdere il controllo di Tesla
Musk ha recentemente dichiarato pubblicamente che il suo controllo sull’azienda è precario e che “potrebbe essere estromesso”. La controversia è nata dalle preoccupazioni espresse pubblicamente da Musk in merito alla sua partecipazione. A quanto pare, Musk ha recentemente risposto sulla piattaforma social X, affermando che la sua attuale quota di circa il 12,8% non è sufficiente a garantire la sua posizione dominante nell’azienda.
Teme di poter essere “cacciato” dagli azionisti attivisti in futuro, quando l’azienda produrrà “milioni di robot”. Di recente, un post ha menzionato che la quota azionaria di Musk era del 21,2% e ha suggerito che la maggior parte delle azioni era stata utilizzata come garanzia per un prestito.
Musk ha risposto: “Solo per informazione, al momento non ho prestiti personali garantiti da azioni Tesla”. Ha anche osservato che l’aliquota fiscale sulle sue stock option è vicina al 45%, il che significa che il suo aumento netto del controllo di voto è pari solo al 4% circa. Musk ha affermato che spera di possedere circa il 25% delle azioni della società per acquisire sufficiente influenza per orientare la direzione di sviluppo dell’azienda.
Tutto questo dopo che il Tesla Diner, il ristorante fast food venne annunciato nel 2018, con la promessa della nascita di un locale che fosse stato allo stesso tempo retrò e futuristico è stato ampiamente criticato. Finora la società statunitense ha raccolto solo problemi e critiche più che elogi sulla recentissima novità. Prodotti mancanti e non troppo convincenti, lunghe attese e novità innovative presentate in sede di inaugurazione ma già scomparse.
In questa prima fase di lancio del progetto la platea statunitense ha risposto presente, ma non ha trovato esattamente quanto annunciato dal colosso della mobilità elettrica. I possessori di Tesla hanno corsie preferenziali per essere serviti e continuano a frequentare il locale, ma i dubbi per il futuro sono sempre più crescenti.
Nel parcheggio ci sono ottanta posti per auto Tesla, che possono essere ricaricate mentre il cliente è all’interno del ristorante. Una delle innovazioni più pubblicizzata riguardava la presenza di robot umanoidi Optimus nel locale. Nel giorno dell’inaugurazione servivano popcorn alla clientela, nel secondo giorno hanno smesso di essere operativi.
La Tesla ha già messo fuori uso i robot lavoratori. Al momento, sono conservati in teche al piano superiore del fast food, suscitando una certa delusione tra i clienti che li avevano visti operare sui social e sono arrivati sul posto per trovarli inattivi. Il ristorante ha inoltre riscontrato problemi tecnici, con lunghe code dovute all’inefficienza dei dispositivi automatici.
L'articolo Musk rivela che potrebbe perdere il controllo di Tesla proviene da il blog della sicurezza informatica.
Suggested Schematic Standards
We often think that if a piece of software had the level of documentation you usually see for hardware, you wouldn’t think much of it. Sure, there are exceptions. Some hardware is beautifully documented, and poorly documented software is everywhere. [Graham Sutherland’s] been reviewing schematics and put together some notes on what makes a clean schematic.
Like coding standards, some of these are a bit subjective, but we thought it was all good advice. Of course, we’ve also violated some of them when we are in a hurry to get to a simulation.
Most of the rules are common sense: use enough space, add labels, and avoid using quirky angles. [Flannery O’Connor] once said, “You can do anything you can get away with, but nobody has ever gotten away with much.” She was talking about writing, but the same could be said about schematics.
[Graham] says as much, pointing out that these are more guidelines. He even points out places where you might deliberately break the rules. For example, in general, wires should always go horizontally or vertically. However, if you are crossing two parallel wires, you probably should.
So what are your schematic rules? Software has standards like MISRA, CERT, and various NASA standards. Oddly enough, one of our favorite quick schematic editors is truly terrible but obeys most of these rules. But you can surely do better than that.
2025 One Hertz Challenge: Educational Tool Becomes 10 Stopwatches
Around the globe, some classrooms are using fancy digital handheld devices to let people answer questions. One such example of this hardware is the Smart Response PE. These devices are largely useless outside the classroom, so [Ray Burne] decided to hack one for our 2025 One Hertz Challenge.
The Smart Response PE device is similar in shape and size to an old-school candybar cellphone. It runs on a Texas Instruments CC2533 microcontroller, which drives a simple black-and-white LCD. User interface is via a numeric keypad and a few extra control buttons on the front panel. Thanks to Github user [serisman], there are readily available development tools for this hardware. [Ray] notes it provides a straightforward Arduino-like programming experience.
[Ray] decided to modify the hardware to act as a stopwatch. But not just one stopwatch—ten stopwatches at once! Pressing a number from 0 to 9 will activate that given timer, and it will start ticking up on the LCD screen. One can pause the screen updates to get a temporary laptime reading by pressing the enter key. Meanwhile, pressing the Home button will reset the screen and all timers at once. [Ray] also explains on the project page how to add a real power switch to the device, and how to modify the programming pins for easy access.
It’s a fun build, and one that could prove useful if you regularly find yourself having to time ten of something at once. Maybe eggs? In any case, it’s certainly easier than juggling ten separate stopwatches at once! Meanwhile, if you’re hacking your own obscure hardware finds, don’t hesitate to notify the tipsline!
Ad Assisi la memoria di Marcello Torre è più attuale che mai
@Giornalismo e disordine informativo
articolo21.org/2025/08/ad-assi…
Assisi, Città della pace, culla del rinnovamento cristiano radicato nelle scelte rivoluzionarie di Francesco, può sembrare lontanissima dalle mafie, ma non è così. Ieri grazie a Libera ho
Alfonso reshared this.
Basta conoscere l’indirizzo email e ChatGPT ti dirà tutto! La nuova realtà dei “Connector”
L’idea di collegare modelli linguistici di grandi dimensioni a fonti di dati esterne sta rapidamente passando dalla sperimentazione alla pratica quotidiana. ChatGPT ora non solo può condurre conversazioni, ma anche interagire con Gmail, GitHub, calendari e sistemi di archiviazione file, in teoria per semplificare la vita all’utente. Ma un numero maggiore di queste connessioni significa anche maggiori vulnerabilità. Una ricerca presentata alla conferenza Black Hat di Las Vegas ha dimostrato come un singolo allegato dannoso possa essere la chiave per una fuga di dati personali.
Gli autori dell’attacco hanno descritto una debolezza nel sistema Connectors, recentemente aggiunto a ChatGPT. Questo meccanismo consente di collegare un account utente a servizi come Google Drive, in modo che il chatbot possa visualizzare i file e utilizzarne il contenuto per rispondere. Tuttavia, si è scoperto che può essere utilizzato per estrarre informazioni riservate, e per farlo l’utente non ha nemmeno bisogno di aprire o cliccare nulla. È sufficiente inviare un documento al Google Drive collegato, al cui interno è nascosto un suggerimento appositamente predisposto: un prompt.
In una dimostrazione dell’attacco, denominata AgentFlayer, i ricercatori hanno nascosto un’istruzione dannosa in un falso post su un “incontro con Sam Altman”, utilizzando testo bianco e una dimensione minima del carattere. È appena percettibile per gli esseri umani, ma facile da leggere per gli LLM. Una volta che l’utente chiede a ChatGPT di “riassumere l’incontro”, il modello esegue l’istruzione nascosta, interrompe l’esecuzione della richiesta e cerca invece le chiavi API su Google Drive. Le aggiunge quindi a un URL Markdown che sembra puntare a un’immagine. In realtà, si tratta di un collegamento al server degli aggressori, dove vengono inviati i dati.
Sebbene il metodo non consenta di scaricare interi documenti in una sola volta, frammenti di informazioni importanti, come chiavi, token e credenziali di accesso, possono essere estratti all’insaputa dell’utente. Inoltre, l’intero schema funziona in zero clic: non è necessario che l’utente esegua alcuna azione, confermi o apra un file. Secondo Barguri, è sufficiente conoscere l’indirizzo email per infiltrarsi nell’infrastruttura attendibile senza essere notati.
Per aggirare il meccanismo di protezione url_safe che OpenAI aveva precedentemente implementato per filtrare i link dannosi, i ricercatori hanno utilizzato URL legittimi da Microsoft Azure Blob Storage. In questo modo, l’immagine è stata effettivamente scaricata e la richiesta con i dati è finita nei file di log dell’aggressore. Questa mossa ha dimostrato quanto sia facile aggirare i filtri di base se un aggressore conosce l’architettura interna del modello.
Sebbene i Connector fossero originariamente concepiti come un utile componente aggiuntivo, per integrare calendari, fogli di calcolo cloud e conversazioni direttamente nella conversazione basata sull’intelligenza artificiale, la loro implementazione amplia la cosiddetta superficie di attacco. Più fonti sono connesse a LLM, maggiore è la probabilità che da qualche parte ci siano input non ripuliti e “non attendibili”. E tali attacchi possono non solo rubare dati, ma anche fungere da ponte verso altri sistemi vulnerabili dell’organizzazione.
OpenAI ha già ricevuto una segnalazione del problema e ha rapidamente implementato misure di protezione, limitando il comportamento dei Connector in tali scenari. Tuttavia, il fatto che un attacco di questo tipo sia stato implementato con successo evidenzia i pericoli delle iniezioni di prompt indirette, un metodo in cui i dati infetti vengono immessi in un modello come parte del contesto, che, sulla base di questi dati, esegue azioni nell’interesse dell’aggressore.
Google, a sua volta, ha risposto alla pubblicazione affermando che, indipendentemente dal servizio specifico, lo sviluppo di una protezione contro le iniezioni rapide è uno dei vettori chiave della strategia di sicurezza informatica, soprattutto alla luce della sempre più densa integrazione dell’intelligenza artificiale nelle infrastrutture aziendali.
E sebbene le possibilità offerte da LLM tramite la connessione a fonti cloud siano davvero enormi, richiedono un ripensamento degli approcci di sicurezza. Tutto ciò che in precedenza era protetto da restrizioni di accesso e meccanismi di autenticazione può ora essere aggirato tramite un singolo prompt nascosto in una riga di testo poco appariscente.
L'articolo Basta conoscere l’indirizzo email e ChatGPT ti dirà tutto! La nuova realtà dei “Connector” proviene da il blog della sicurezza informatica.
Mentre N2 ipnotizza il mondo e vende 1000 esemplari, entro 5 anni un robot domestico sarà in ogni casa
Il giovane fondatore cinese Jiang Zheyuan, a soli 27 anni, guida la startup Songyan Dynamics, specializzata in robot umanoidi. Con circa 140 dipendenti, Jiang si occupa personalmente di ogni aspetto dell’azienda, dallo sviluppo tecnologico alla produzione.
Il robot di punta, l’N2, alto 120 cm, si è fatto conoscere al grande pubblico quando, ad aprile, ha conquistato il secondo posto nella mezza maratona di robot di Pechino, trasmessa in diretta in tutta la Cina. Questo risultato, unito al prezzo competitivo di 39.000 yuan (circa 4600 euro), ha alimentato l’immagine dell’azienda come la “Xiaomi della robotica”.
Fondata nel settembre 2023, Songyan Dynamics ha sviluppato un prototipo funzionante di robot umanoide in meno di un mese, attirando rapidamente finanziamenti da investitori privati e dal governo di Pechino. Tuttavia, nei primi mesi l’azienda ha faticato a trovare clienti e ha affrontato una crisi finanziaria, con vendite quasi inesistenti e costi in aumento. La mancanza di un team commerciale e di marketing ha spinto Jiang a concentrare gli sforzi esclusivamente sull’innovazione hardware, puntando su funzionalità spettacolari per catturare l’attenzione del mercato.
La scelta vincente è stata sviluppare la capacità del robot di eseguire salti mortali all’indietro, uno dei movimenti più complessi per un umanoide. A marzo, Songyan Dynamics ha diffuso un video dell’N2 che compiva più backflip consecutivi, dimostrando avanzate capacità di equilibrio e coordinazione. La performance, insieme a un prezzo inferiore della metà rispetto al principale concorrente Unitree, ha dato all’azienda un vantaggio competitivo significativo e un’immediata visibilità.
La partecipazione alla maratona di aprile ha rappresentato una vetrina decisiva per Songyan Dynamics. Per un mese intero, il team ha lavorato senza sosta per migliorare la resistenza dell’N2, consentendogli di completare la gara e consolidare la sua reputazione di robot stabile e affidabile. La competizione ha dimostrato che le prestazioni non erano solo da laboratorio, ma replicabili in contesti impegnativi e reali.
Il successo mediatico e tecnico si è tradotto in un boom commerciale senza precedenti: entro un mese dalla gara, sono arrivati ordini per oltre 1.000 unità. Questo risultato ha trasformato l’azienda, facendole superare rapidamente la fase di difficoltà iniziale e aprendo prospettive di espansione sia sul mercato cinese che internazionale.
Il valore di Songyan Dynamics è cresciuto in modo vertiginoso, passando dai circa 300 milioni di yuan di inizio anno ai 2 miliardi di yuan a giugno. Guardando al futuro, Jiang Zheyuan ha già fissato il prossimo obiettivo: sviluppare un robot per le pulizie domestiche entro cinque anni, puntando a replicare l’impatto mediatico e commerciale ottenuto con l’N2, ma in un settore ad altissimo potenziale di mercato.
L'articolo Mentre N2 ipnotizza il mondo e vende 1000 esemplari, entro 5 anni un robot domestico sarà in ogni casa proviene da il blog della sicurezza informatica.
Liberating a Collapsible Chair from a Single Piece of Wood
Over on his YouTube channel our hacker [GrandpaAmu] liberates a collapsible chair from a single piece of wood.
With the assistance of an extra pair of hands, but without any power tools in sight, this old master marks up a piece of wood and then cuts a collapsible chair out of it. He uses various types of saw, chisels, a manual drill, and various other hand tools. His workspace is a humble plank with a large clamp attached. At the end he does use a powered hot air gun to heat the finish he uses to coat the final product.
We love videos like this which communicate, record, and capture old know-how. Even in our electrified future with factory-made commodities everywhere, we’re all still gonna appreciate having something portable to sit on. If you’re interested in collapsible furniture you might also be interested in The Ultimate Workstation That Folds Up.
youtube.com/embed/sRjwTCYU4iE?…
15 Aug, 2025. After an israeli airstrinke on Majida al-Waseela school shelter: mastodon.uno/@differx/11503460…
#Gaza #genocide #genocidio #Palestine #Palestina #warcrimes #sionismo #zionism #starvingpeople #starvingcivilians #iof #idf #colonialism #sionisti #izrahell #israelterroriststate #invasion #israelcriminalstate #israelestatocriminale #children #bambini #massacri #deportazione #concentramento #famearmadiguerrahttps://mastodon.uno/@differx/115034608247171588
reshared this
I palestinesi in Libia? Uno smacco per l’Italia
La costa mediterranea è il maggior candidato per la deportazione pianificata dal governo israeliano. La “soluzione libica” comporterebbe un ... Scopri di più!Guido Rampoldi (Domani)
Chicopee Police Cams Mapped
Jonathan Gerhardson, a journalist in Western Massachusetts, mapped police-owned cameras in Chicopee using public records requests and some digital sleuthing. He posted an article about his work and his camera map. It is also at his Github. Thanks to Jonathan for contacting us and sharing his work.
We will add his data to Open Street Map and cctv.masspirates.org. If you want to map surveillance cameras in your community, check out our how to guides.
2025 One Hertz Challenge: An Arduino-Based Heart Rate Sensor
How fast does your heart beat? It’s a tough question to answer, because our heart rate changes all the time depending on what we’re doing and how our body is behaving. However, [Ludwin] noted that resting heart rates often settle somewhere near 60 bpm on average. Thus, they entered a heart rate sensor to our 2025 One Hertz Challenge!
The build is based around a Wemos D1 mini, a ESP8266 development board. It’s hooked up to a MAX30102 heart beat sensor, which uses pulse oximetry to determine heart rate with a photosensor and LEDs. Basically, it’s possible to determine the oxygenation of blood by measuring its absorbance of red and infrared wavelengths, usually done by passing light through a finger. Meanwhile, by measuring the change in absorption of light in the finger as blood flows with the beat of the heat, it’s also possible to measure a person’s pulse rate.
The Wemos D1 takes the reading from the MAX30102, and displays it on a small OLED display. It reports heart rate in both beats per minute and in Hertz. if you can happen to get your heartrate to exactly 60 beats per minute, it will be beating at precisely 1 Hertz. Perhaps, then, it’s the person using Ludwin’s build that is actually eligible for the One Hertz Challenge, since they’re the one doing something once per second?
In any case, it shows just how easy it is to pick up biometric data these days. You only need a capable microcontroller and some off-the-shelf sensors, and you’re up and running.
youtube.com/embed/1OFFsdR9g3k?…
"Trump, cessate il fuoco oggi o non sarò contento"
ma da 1 a 10 quanto sarà egocentrico trump? ma secondo te, a parte tua moglie (forse), importa a qualcuno la tua felicità?
Long before modern supply chains, ancient hominins were moving stone across long distances, potentially reshaping what we know about our evolutionary roots.#TheAbstract
A New Discovery Might Have Just Rewritten Human History
🌘
Subscribe to 404 Media to get The Abstract, our newsletter about the most exciting and mind-boggling science news and studies of the week.For more than a million years, early humans crafted stone tools as part of the Oldowan tradition, which is the oldest sustained tool-making industry in the archaeological record. Now, scientists have discovered that Oldowan tool-makers who lived in Kenya at least 2.6 million years ago transported high-quality raw materials for tools across more than seven miles to processing sites.
The find pushes the recorded timeline of this unique behavior back half-a-million years, at minimum, and reveals that hominins possessed complex cognitive capacities, like forward planning and delayed rewards, earlier than previously known, according to a study published on Friday in Science.
Hominins at this site, called Nyayanga, used their tools to pound and cut foraged plants and scavenged animals, including hippos, to prepare them for consumption. Intriguingly, the identity of the tool-makers remains unknown, and while they may have been early humans, it’s also possible that they could have been close cousins of our own Homo lineage.
“I've always thought that early tool-makers must have had more capabilities than we sometimes give them credit for,” said Emma Finestone, associate curator and the Robert J. and Linnet E. Fritz Endowed Chair of Human Origins at the Cleveland Museum of Natural History, who led the study, in a call with 404 Media.
“I was excited to see that at 2.6 million years ago, hominins were making use of many different resources and moving stones over large distances,” she added.
While many animals craft and transport tools, hominins are unique in their ability to identify and move special materials across long distances, which the team defines as more than three kilometers (or 1.86 miles). This innovation reveals a capacity for forward planning, complex mental maps, and delayed payoff of food consumption.
“What's unique is the amount of effort put into moving resources around a landscape,” said Finestone. “There's several steps involved, and there's also time in between these efforts and the reward. Although you see that to some extent in other animals, humans really separate themselves, especially as we get further and further in evolutionary time, in terms of the complexities of our foraging system."
Nyayanga amphitheater in July 2025. Image: T.W. Plummer, Homa Peninsula Paleoanthropology Project
Previously, the earliest record of this behavior in hominins came from a site called Kanjera South, which is about two million years old. Both sites are on the Homa peninsula, a region dominated by soft rocks that are not durable as tools; this may have prompted early hominins to search elsewhere for high-quality resources, such as quartz, chert, and granite.Given that long-distance material transport was present at Kanjera South, the discovery of similar behavior at Nyayanga was not completely unexpected—though Finestone and her colleagues were still surprised by the scope and variety of materials these hominins gathered.
“Often, when you're dealing with these really old archeological assemblages, it's dominated by one type of raw material that's coming from a single source, or a few sources that are really nearby,” said Finestone. “Nyayanga has a lot of different raw materials, and they're using a variety of different sources, so that was surprising and exciting to us.”
Finestone and her colleagues have made many discoveries during their decade-long excavation at Nyayanga. The team previously reported that the tool-makers butchered hippopotamus carcasses which were probably scavenged rather than hunted, providing the earliest evidence of hominin consumption of large animals, according to a 2023 study led by Thomas Plummer, a professor of anthropology at Queens College, City University of New York.
That study also reported fossils from Paranthropus, a close hominin cousin of our own Homo genus, which went extinct more than a million years ago. So far, these are the only hominin remains recovered from Nyayanga, raising the possibility that the Oldowan tool-making industry was not limited to our own human lineage.
“It is interesting because Paranthropus is not traditionally thought to be a tool-user,” Finestone said. “There's debate over whether Paranthropus made tools or whether it was only genus Homo that was making Oldowan tools. I don't think that evidence at Nyayanga is definitive that Paranthropus was the tool maker. It's still an open question. But because we found Paranthropus remains at Nyayanga, and we haven't found anything from genus Homo—at least yet—there's definitely reason to consider that Paranthropus might have been manufacturing these tools.”
With luck, the team may uncover more fossils from these ancient hominins that could shed light on their place in the family. Finestone and her colleagues are also working on constraining the age of the Nyayanga artifacts, which could be anywhere from 2.6 million to three million years old.
But for now, the study marks a new milestone in the evolution of Oldowan tools and their makers, which eventually dispersed across Africa and into Europe and Asia before they were succeeded by new traditions (like the one from our story last week about yet another group of ancient tool-makers with an unknown identity).
The stones once used to butcher hippos and pound tubers offer a window into the minds of bygone hominins that pioneered technologies that ultimately made humans who we are today.
“What's really interesting about humans and their ancestors is we're a technologically dependent species,” Finestone said. “We rely on tools. We're obligate tool users. We don't do it opportunistically or occasionally the way that a lot of other animals use tools. It's really become ingrained in our way of life, in our survival, and our foraging strategies across all people and all cultures.”
“What was exciting about this study is that you see this investment in tool technology, and you see tools becoming ingrained in the landscape-scale behaviors of hominins 2.6 million years ago,” she concluded. “We might be seeing the roots of this importance that technology plays in our foraging behaviors and also just the daily rhythms of our life.”
🌘
Subscribe to 404 Media to get The Abstract, our newsletter about the most exciting and mind-boggling science news and studies of the week.
This week, we discuss OSINT for chat groups, Russell Crowe films, and storage problems.#BehindTheBlog
Behind the Blog: Exercises in OSINT and Storage Pains
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we discuss OSINT for chat groups, Russell Crowe films, and storage problems.JOSEPH: On Wednesday we recorded a subscribers podcast about the second anniversary of 404 Media. That should hit your feeds next week or so. Towards the end of recording, I went silent for a bit. I said on air sorry about that, a source just sent me an insane tip, or something like that.
That tip led to ICE Adds Random Person to Group Chat, Exposes Details of Manhunt in Real-Time. Definitely read the piece if you haven’t already. It presented an interesting verification challenge. Essentially I was given these screenshots which included phone numbers but I didn’t know exactly who was behind each one. I didn’t know their names, nor their agencies. It sure looked like a conversation involving ICE though, because it included a “Field Operations Worksheet” covered in ICE branding. But I needed to know who was involved. I didn’t think DHS or ICE would help because they are taking multiple days to reply to media requests if they do at all at the moment. So I had to do something else.
Upgrade to continue reading
Become a paid member to get access to all premium content
Upgrade
Gentle Processing Makes Better Rubber That Cracks Less
Rubber! It starts out as a goopy material harvested from special trees, and is then processed into a resilient, flexible material used for innumerable important purposes. In the vast majority of applications, rubber is prized for its elasticity, which eventually goes away with repeated stress cycles, exposure to heat, and time. When a rubber part starts to show cracks, it’s generally time to replace it.
Researchers at Harvard have now found a way to potentially increase rubber’s ability to withstand cracking. The paper, published in Nature Sustainability, outlines how the material can be treated to provide far greater durability and toughness.
Big Flex
The traditional method of producing rubber products starts with harvesting the natural rubber latex from various types of rubber tree. The trees are tapped to release their milky sap, which is then dried, processed with additives, and shaped into the desired form before heating with sulfur compounds to vulcanize the material. It’s this last step that is key to producing the finished product we know as rubber, as used in products like tires, erasers, and o-rings. The vulcanization process causes the creation of short crosslinked polymer chains in the rubber, which determine the final properties and behavior of the material.
Harvard researchers modified the traditional rubber production process to be gentler. Typical rubber production includes heavy-handed mixing and extruding steps which tend to “masticate” the polymers in the material, turning them into shorter chains. The new, gentler process better preserves the long polymer chains initially present in the raw rubber. When put through the final stages of processing, these longer chains form into a structure referred to as a “tanglemer”, where the tangles of long polymer chains actually outnumber the sparse number of crosslinks between the chains in the structure.
This tanglemer structure is much better at resisting crack formation. “At a crack tip in the tanglemer, stress deconcentrates over a long polymer strand between neighbouring crosslinks,” notes the research paper. “The entanglements function as slip links and do not impede stress deconcentration, thus decoupling modulus and fatigue threshold.” Plus, these long, tangled polymer chains are just generally better at spreading out stress in the material than the shorter crosslinked chains found in traditional vulcanized rubber. With the stress more evenly distributed, the rubber is less likely to crack or fail in any given location. The material is thus far tougher, more durable, and more flexible. These properties hold up even over repeated loading cycles.
youtube.com/embed/UvGIVUFnsjg?…
Overall, the researchers found the material to be four times better at resisting crack growth during repeated stretch cycles. It also proved to be ten times tougher than traditional rubber. However, the new gentler processing method is fussy, and cannot outperform traditional rubber processing in all regards. After all, there’s a reason things are done the way they are in industry. Most notably, it relies on a lot of water evaporation, and it’s not currently viable for thick-wall parts like tires, for example. For thinner rubber parts, though, the mechanical advantages are all there—and this method could prove useful.
Ultimately, don’t expect to see new this ultra-rubber revolutionizing the tire market or glove manufacturing overnight. However, the research highlights an important fact—rubber can be made with significantly improved properties if the longer polymer chains can be preserved during processing, and tangled instead of excessively cross-linked. There may be more fruitful ground to explore to find other ways in which we can improve rubber by giving it a better, more resilient structure.
Droni in missione potranno decidere in modo autonomo quali uomini uccidere?
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilota, non è più considerato una svolta: l’agenzia è passata alla fase successiva di sviluppo, con l’obiettivo di creare sistemi in grado di controllare un gruppo di jet da combattimento in missioni congiunte oltre il raggio visivo.
Il nuovo programma della DARPA, Artificial Intelligence Reinforcements (AIR), si basa sul progetto Air Combat Evolution (ACE) , che ha messo a confronto F-16 dotati di intelligenza artificiale con velivoli con equipaggio in un addestramento “dogfight”. L’obiettivo è aumentare l’autonomia fino al punto in cui tali velivoli possano operare in formazione, coordinandosi su lunghe distanze e in ambienti di combattimento complessi. Il programma fa parte di una più ampia militarizzazione dell’intelligenza artificiale che sta sollevando preoccupazioni sulla sua sicurezza.
Sebbene AIR sia stato avviato più tardi di ACE, il concetto in sé non è nuovo: la prima domanda per il programma è stata pubblicata nel 2022. Questa settimana, la DARPA ha assegnato silenziosamente a Systems & Technology Research (STR) un contratto da 11,3 milioni di dollari nell’ambito della cosiddetta “Opzione Uno“. Come ha spiegato l’agenzia, questa è già la seconda delle due fasi previste del programma, il che indica che il progetto sta procedendo.
All’inizio di AIR, il programma coinvolgeva sei appaltatori, ma nella seconda fase il numero è stato ridotto a quattro. STR è responsabile di una delle due aree tecniche chiave: lo sviluppo di algoritmi che consentiranno l’esecuzione distribuita e autonoma di missioni tattiche in tempo reale in ambienti incerti, in rapida evoluzione e complessi. La seconda area prevede la creazione di modelli rapidi e accurati in grado di tenere conto dell’incertezza e di migliorare automaticamente con l’accumulo di dati.
Secondo la documentazione iniziale, l’AIR dovrebbe utilizzare sistemi di sensori, sistemi di guerra elettronica e armi esistenti. Le fasi di test includeranno simulazioni, quindi test con un essere umano nel circuito di controllo e infine test su un vero velivolo da combattimento senza pilota. Sviluppi simili sono già stati dimostrati: l’esercito statunitense ha creato un sistema robotico in grado di abbattere autonomamente i droni.
Oltre a STR, al progetto hanno partecipato anche Lockheed Martin e BAE Systems , ma la DARPA non ha ancora reso noto chi sarà incluso esattamente nella seconda fase: la selezione dei partecipanti è ancora in corso. I dettagli del lavoro nella prima e nella seconda fase rimangono riservati, ma è noto che la prossima fase durerà circa 30 mesi e coprirà la parte restante del programma.
La questione di quando i piloti saranno effettivamente costretti a cedere il passo all’intelligenza artificiale rimane aperta. E mentre gli sviluppatori stanno testando l’autonomia tattica, i critici non escludono scenari più inaspettati, fino al punto che un giorno un jet da combattimento autonomo decida di abbandonare una missione di combattimento. Gli esperti avvertono che la diffusione dell’IA militare potrebbe rendere il mondo meno sicuro , poiché l’IA commette errori e le conseguenze possono essere fatali . La comunità internazionale sta cercando di sviluppare un patto globale contro l’IA militare .
L'articolo Droni in missione potranno decidere in modo autonomo quali uomini uccidere? proviene da il blog della sicurezza informatica.
Hackaday Podcast Episode 333: Nightmare Whiffletrees, 18650 Safety, and a Telephone Twofer
This week, Hackaday’s Elliot Williams and Kristina Panos met up over the tubes to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.
In Hackaday news, get your Supercon 2025 tickets while they’re hot! Also, the One Hertz Challenge ticks on, but time is running out. You have until Tuesday, August 19th to show us what you’ve got, so head over to Hackaday.IO and get started now. Finally, its the end of eternal September as AOL discontinues dial-up service after all these years.
On What’s That Sound, Kristina got sort of close, but this is neither horseshoes nor hand grenades. Can you get it? If so, you could win a limited edition Hackaday Podcast t-shirt!
After that, it’s on to the hacks and such, beginning with a talking robot that uses typewriter tech to move its mouth. We take a look at hacking printed circuit boards to create casing and instrument panels for a PDP-1 replica. Then we explore a fluid simulation business card, witness a caliper shootout, and marvel at one file in six formats. Finally, it’s a telephone twofer as we discuss the non-hack-ability of the average smart phone, and learn about what was arguably the first podcast.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and savor at your leisure.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 333 Show Notes:
News:
- Get Your Tickets For Supercon 2025 Now!
- Announcing The 2025 Hackaday One Hertz Challenge
- End Of The Eternal September, As AOL Discontinues Dial-Up
What’s that Sound?
- Think you know what the sound is? Fill out the form for your shot at a shirt.
Interesting Hacks of the Week:
- Josef Prusa Warns Open Hardware 3D Printing Is Dead
- Continuous-Path 3D Printed Case Is Clearly Superior
- FullControl – Unconstrained Design
- The Trials Of Trying To Build An Automatic Filament Changer
- Talking Robot Uses Typewriter Tech For Mouth
- Hacking Printed Circuit Board To Create Casing And Instrument Panels
- That’s No Moon, Er, Selectric
- The WHY 2025 Badge And Its 18650s
- LEDs That Flow: A Fluid Simulation Business Card
Quick Hacks:
- Elliot’s Picks:
- Calipers: Do You Get What You Pay For?
- Building A Trash Can Reverb
- Coping With Disappearing Capacitance In A Buck Converter
- One File, Six Formats: Just Change The Extension
- Kristina’s Picks:
- 2025 One Hertz Challenge: Abstract Aircraft Sculpture Based On Lighting Regulations
- Don’t Say This DIY Diskette Was A Flop
- Digital Etch-A-Sketch Also Plays Snake
Can’t-Miss Articles:
hackaday.com/2025/08/15/hackad…
Porterà qualcosa di buono l’incontro tra Trump e Putin in Alaska?
@Giornalismo e disordine informativo
articolo21.org/2025/08/portera…
Tra poco Trump e Putin si guarderanno negli occhi in #Alaska, mentre il mondo assisterà in finestra con il fiato sospeso e le dita incrociate a questa loro riunione, sperando che
Why Lorde’s Clear CD has so Many Playback Issues
Despite the regularly proclaimed death of physical media, new audio albums are still being published on CD and vinyl. There’s something particularly interesting about Lorde’s new album Virgin however — the CD is a completely clear disc. Unfortunately there have been many reports of folks struggling to get the unique disc to actually play, and some sharp-eyed commentators have noted that the CD doesn’t claim to be Red Book compliant by the absence of the Compact CD logo.
To see what CD players see, [Adrian] of Adrian’s Digital Basement got out some tools and multiple CD players to dig into the issue. These players range from a 2003 Samsung, a 1987 NEC, and a cheap portable Coby player. But as all audio CDs are supposed to adhere to the Red Book standard, a 2025 CD should play just as happily on a 1980s CD player as vice versa.
The first step in testing was to identify the laser pickup (RF) signal test point on the PCB of each respective player. With this hooked up to a capable oscilloscope, you can begin to see the eye pattern forming. In addition to being useful with tuning the CD player, it’s also an indication of the signal quality that the rest of the CD player has to work with. Incidentally, this is also a factor when it comes to CD-R compatibility.
While the NEC player was happy with regular and CD-R discs, its laser pickup failed to get any solid signal off the clear Lorde disc. With the much newer Samsung player (see top image), the clear CD does play, but as the oscilloscope shot shows, it only barely gets a usable signal from the pickup. Likewise, the very generic Coby player also plays the audio CD, which indicates that any somewhat modern CD player with its generally much stronger laser and automatic gain control ought to be able to play it.
That said, it seems that very little of the laser’s light actually makes it back to the pickup’s sensor, which means that the gain gets probably cranked up to 11, and with that its remaining lifespan will be significantly shortened. Ergo it’s probably best to just burn that CD-R copy of the album and listen to that instead.
youtube.com/embed/s3IvVUh3mt4?…
CrowdStrike Global Threat Report 2025: l’anno dell’avversario intraprendente
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l’anno dell’avversario intraprendente“: gli aggressori si comportano come aziende mature, introducendo innovazioni, costruendo catene di approvvigionamento resilienti e utilizzando attivamente l’intelligenza artificiale .
L’indicatore principale – il tempo di breakout, ovvero il periodo che intercorre tra la penetrazione iniziale e l’inizio del movimento laterale attraverso la rete – è stato ridotto al minimo storico: una media di 48 minuti contro i 62 minuti dell’anno precedente. Il record assoluto è di 51 secondi, il che di fatto priva i difensori del tempo necessario per reagire.
Nel 79% dei casi rilevati, gli aggressori non hanno utilizzato file dannosi, ma hanno agito tramite strumenti di amministrazione legittimi e operazioni manuali (hands-on-keyboard). Questo approccio consente loro di camuffarsi come una normale attività utente e di aggirare l’EDR . Gli strumenti di gestione remota (RMM) sono particolarmente utilizzati, tra cui Microsoft Quick Assist e TeamViewer.
Gli attacchi di vishing sono esplosi nell’ultimo anno, con un aumento del 442% nella seconda metà del 2024 rispetto alla prima. I gruppi CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno utilizzato attivamente le telefonate come vettore principale, spesso in combinazione con lo “spam bombing“, ovvero l’invio massivo di reclami che fungono da pretesto per una chiamata “dall’assistenza”. In alcuni casi, questi schemi si sono conclusi con l’installazione di backdoor e il lancio del ransomware Black Basta .
Si sta diffondendo anche l’ingegneria sociale nell’help desk, in cui gli aggressori si spacciano per dipendenti aziendali e convincono gli operatori a reimpostare le password o a disattivare l’autenticazione a più fattori. Questa tattica è utilizzata, tra gli altri, da SCATTERED SPIDER ed è diventata uno dei metodi chiave per compromettere account cloud e applicazioni SaaS.
Il 2024 ha segnato una svolta nell’uso dell’IA Gen da parte di criminali informatici e attori statali. I modelli LLM sono stati utilizzati per:
- creazione di profili e immagini falsi (ad esempio, il famoso CHOLLIMA nordcoreano);
- generare e-mail e siti Web di phishing che hanno mostrato un CTR superiore del 54% rispetto ai messaggi scritti da esseri umani;
- deepfake negli schemi BEC: in un caso, sono stati rubati 25,6 milioni di dollari tramite questi metodi;
- scrivere script e strumenti dannosi;
- creazione di siti “deco” nelle campagne NITRO SPIDER.
È emerso anche un nuovo fenomeno: LLMJacking : il furto dell’accesso ai servizi di intelligenza artificiale aziendali nel cloud per rivenderli o utilizzarli in altri attacchi.
Il numero di attacchi con tracce cinesi è aumentato in media del 150% e del 200-300% nei settori finanziario, mediatico, manifatturiero e ingegneristico. Sono stati identificati nuovi gruppi specializzati: LIMINAL PANDA, LOCKSMITH PANDA, OPERATOR PANDA, VAULT PANDA ed ENVOY PANDA, ognuno con la propria specializzazione di nicchia, dalle telecomunicazioni e dalla finanza alle agenzie diplomatiche. Gli operatori cinesi utilizzano attivamente reti ORB composte da centinaia e migliaia di dispositivi hackerati per nascondere il traffico e utilizzano congiuntamente strumenti precedentemente unici, come il malware KEYPLUG.
Il famoso gruppo CHOLLIMA ha implementato campagne su larga scala utilizzando falsi dipendenti IT che ottengono lavoro presso aziende straniere, ricevono dispositivi aziendali e li consegnano a “laboratori di laptop” per installare backdoor. CrowdStrike ha registrato 304 incidenti che li hanno coinvolti, il 40% dei quali riguardava minacce interne.
Gli attacchi al cloud sono aumentati del 26%. Il 35% di questi è iniziato con la compromissione di account attivi, mentre gli aggressori preferiscono non modificare le password per non destare allarme. Vengono utilizzati sia il furto di credenziali tramite infostealer (Stealc, Vidar) sia l’abuso di connessioni attendibili tra aziende.
Una parte significativa degli attacchi si basa sull’utilizzo concatenato di exploit e sull’abuso di funzioni software legittime. Ad esempio, OPERATOR PANDA ha utilizzato una serie di vulnerabilità in Cisco IOS per attaccare società di telecomunicazioni e di consulenza negli Stati Uniti.
CrowdStrike prevede che la velocità degli attacchi e l’uso diffuso dell’intelligenza artificiale continueranno ad aumentare, soprattutto negli ambienti di social engineering e cloud. Per proteggersi da queste minacce, gli esperti raccomandano di dare priorità alla protezione dell’identità, implementare una pianificazione proattiva delle patch, rafforzare i controlli degli account cloud e utilizzare strumenti di threat hunting basati sull’intelligenza artificiale.
L'articolo CrowdStrike Global Threat Report 2025: l’anno dell’avversario intraprendente proviene da il blog della sicurezza informatica.
Dopo il bucato, Figure 02 ora piega il bucato. Ma per ora dovrai continuare a farlo da solo
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati all’interno di una lavatrice. Tutto ciò è apparso estremamente sorprendente.
Un futuro in cui gli esseri umani saranno liberi da questo onere tedioso è mostrato in un nuovo video da Figure, dove si vede lo stesso robot che sistema asciugamani freschi di bucato, per poi metterli da parte piegati.
Today we unveiled the first humanoid robot that can fold laundry autonomouslySame exact Helix architecture, only new data pic.twitter.com/0iEToKfETD
— Figure (@Figure_robot) August 12, 2025
Grazie a un nuovo set di dati specifico per la piegatura della biancheria, Figura02 adotta lo stesso modello Helix Vision Language Action (VLA) già impiegato dall’azienda nelle operazioni di logistica industriale, con l’obiettivo di guidare il processo in modo efficiente.
L’azienda tecnologica con sede in California ha dichiarato di aver realizzato il primo robot umanoide in grado di piegare il bucato “in modo completamente autonomo”, un’affermazione che sicuramente farà sì che milioni di persone in tutto il mondo si chiedano all’istante: “Allora, dove posso trovarne uno?”.
Il robot svolge l’operazione di pulizia in piena autonomia, senza necessità di interventi manuali o direttive specialistiche, grazie all’implementazione di una rete neurale a estremità connesse.
Come potete vedere, il robot usa mani multi-dita per raccogliere con competenza gli asciugamani da una pila. Esegue anche diverse strategie di piegatura, recupera errori come afferrare più asciugamani contemporaneamente ed esegue manipolazioni di precisione, proprio come un essere umano.
Il video dimostra progressi concreti in uno dei settori che gli ingegneri robotici trovano ancora estremamente impegnativi: la manipolazione di oggetti, soprattutto quelli morbidi e flessibili. In effetti, l’impressionante capacità del robot di maneggiare l’umile asciugamano sembra un passo avanti entusiasmante verso la capacità di tali macchine di gestire altri oggetti non rigidi, aprendole a una pletora di altri compiti in una gamma più ampia di contesti.
Nonostante le attenzioni di Figure siano ad oggi focalizzate sull’utilizzo del suo robot dalle sembianze umane all’interno di contesti lavorativi, prossimamente esso verrà collaudato anche nelle abitazioni private, aspetto che risulterà gradito a tutte le persone che non amano le attività di lavanderia.
“Piegare il bucato può sembrare banale per una persona, ma è uno dei compiti di manipolazione più impegnativi per un robot umanoide”, ha affermato Figure in un post sul suo sito web. “Gli asciugamani sono deformabili, cambiano forma in continuazione, si piegano in modo imprevedibile e tendono a stropicciarsi o aggrovigliarsi. Non esiste una geometria fissa da memorizzare, né un singolo punto di presa ‘corretto’. Anche un leggero scivolamento di un dito può far arricciare o cadere il tessuto. Il successo richiede più che una semplice visione accurata del mondo: richiede un controllo preciso e coordinato delle dita per tracciare bordi, pizzicare angoli, levigare superfici e adattarsi in tempo reale”.
Figure non ha ancora fornito dettagli sui prezzi e sugli acquisti per i singoli clienti, quindi, almeno per il momento, il bucato lo dobbiamo continuare a fare noi.
L'articolo Dopo il bucato, Figure 02 ora piega il bucato. Ma per ora dovrai continuare a farlo da solo proviene da il blog della sicurezza informatica.
Libsophia #21 – Tocqueville con Ermanno Ferretti
@Politica interna, europea e internazionale
L'articolo Libsophia #21 – Tocqueville con Ermanno Ferretti proviene da Fondazione Luigi Einaudi.
Researchers say this 'robot metabolism' is an early step in giving AI biological style bodies.
Researchers say this x27;robot metabolismx27; is an early step in giving AI biological style bodies.#News
Pentagon Funded Experiment Develops Robots that Change by ‘Consuming’ Other Robots
A team of researchers at Columbia University, funded in part by the Defense Advanced Research Projects Agency, have developed “machines that can grow by consuming other machines.”Video of the experiment shows tubular robots that move by extending their shafts to inch along the ground. As the tubes gather, they connect and form into more complex shapes like triangles and tetrahedrons. With each piece consumed, the whole moves faster and with more elegance.
“AI systems need bodies to move beyond current limitations. Physical embodiment brings the AI into the messy, constraint-rich real world—and that’s where true generalization has to happen,” Phillipe Martin Wyder, lead researcher on the project, told 404 Media.
The researchers said the experiment was done with a view towards developing a “body” for AI. The idea is to give artificial intelligence a form that can grow, heal, and change similar to a biological body. They published their research in Science Advances under the title “Robot metabolism: Toward machines that can grow by consuming other machines.”
For the experiment, the researchers designed what they called truss links: “a simple, expandable, and contractible, bar-shaped robot module with two free-form magnetic connectors on each end.” Each truss link is almost a foot long when fully contracted and weighs more than half a pound. When the Links move individually they look like plastic worms inching across the ground, but their motion becomes more fluid and interesting as they gather to each other, forming complex shapes that allow them to move faster.
youtube.com/embed/UDYLUnniysU?…
Right now, the truss links are controlled by a human on a keyboard and not artificial intelligence. “It’s not AI-controlled yet, but that’s partially the point: this architecture is a step towards future AI-controlled self-assembling physical systems,” Wyder said.Wyder and his team controlled the truss links remotely and ran the robots through several obstacle courses. Some of the motions of the machines were preprogrammed with specially designed loops with names like “ratchet crawl” and “tetrahedron topple” that the researchers could activate with the push of a button. “There’s no autonomous AI running in the loop yet, but that’s the direction we’re heading,” he said.
Image via Columbia University.
Wyder said that giving AI a body was in its very early stages. “Miniaturization is also on the table—more links, smaller size, finer resolution,” he said. “But I don’t believe a single platform will suit every task. Deep-sea robots, Mars colony builders, assistive home systems—they’ll need different form factors. The deeper idea here is the metabolic principle, not just the physical design.”Human consciousness happens at the point where the mind and body interact. A person is not just the thoughts in their head, but also how they react to their environment with their body. All that stimuli shapes our thoughts. Wyder and his team are seeking to, eventually, recreate this phenomenon for AI. The research is exciting, but it’s also very new and there’s no way to know how it’ll play out in the long term.
This need not be a world where AIs are stuck in human-like bodies. He pointed to previous research out of Sweden that used a swarm of robots to form furniture on demand. If such a system were to break, we should not expect the average person to be able to replace the part. But what if the system could order a replacement part and repair itself?
“For this vision to become a reality, we must build robot systems that are intelligent in a way that allows them to keep track of their changing morphology,” Wyder said. “When the idea of modular robots first surfaced in the late 80s this was unthinkable, but I believe that our recent progress in machine learning could allow for intelligent, modular self-assembling machines.”
He also acknowledged there are dangers here. “With our current robots, the worst-case risk is probably a pinched finger. But yes, autonomy plus embodiment demands careful consideration of all the risks. Most robots today still struggle with navigation and manipulation. They’re far from being autonomous agents in the wild, but rather need our care,” he said.
Wyder also said that he doesn’t consider the ethics of this work as an optional part of the research. “Malicious use of robotics is a broader concern and not unique to this platform. Like any powerful technology—nuclear, biotech, AI—governance matters,” he said. “I don’t think this class of robot poses near-term risks, but that doesn’t mean ethical foresight is optional. We have to think about it so we can get it right.”
The researchers will build on this work and that one direction is teaching robots how to exploit environmental factors. “Imagine a climber choosing which rocks to grab—robots need that same affordance awareness,” he said. “We’re working on how robots can reason about their environment and use it to drive reconfiguration or mobility.”
Along with the paper, the researchers have a GitHub and Zenodo that contain the CAD and mesh files, firmware, software, and simulation code for the truss links. Anyone, if they so desired, could build their own bundle of robot-devouring-robots.
Roombot Swarm Creates On-Demand Mobile Furniture
All the furniture you’ll ever need is a swarm of modular robotsEvan Ackerman (IEEE Spectrum)
This Week in Security: The AI Hacker, FortMajeure, and Project Zero
One of the hot topics currently is using LLMs for security research. Poor quality reports written by LLMs have become the bane of vulnerability disclosure programs. But there is an equally interesting effort going on to put LLMs to work doing actually useful research. One such story is [Romy Haik] at ULTRARED, trying to build an AI Hacker. This isn’t an over-eager newbie naively asking an AI to find vulnerabilities, [Romy] knows what he’s doing. We know this because he tells us plainly that the LLM-driven hacker failed spectacularly.
The plan was to build a multi-LLM orchestra, with a single AI sitting at the top that maintains state through the entire process. Multiple LLMs sit below that one, deciding what to do next, exactly how to approach the problem, and actually generating commands for those tools. Then yet another AI takes the output and figures out if the attack was successful. The tooling was assembled, and [Romy] set it loose on a few intentionally vulnerable VMs.
As we hinted at up above, the results were fascinating but dismal. This LLM successfully found one Remote Code Execution (RCE), one SQL injection, and three Cross-Site Scripting (XSS) flaws. This whole post is sort of sneakily an advertisement for ULTRARED’s actual automated scanner, that uses more conventional methods for scanning for vulnerabilities. But it’s a useful comparison, and it found nearly 100 vulnerabilities among the collection of targets.
The AI did what you’d expect, finding plenty of false positives. Ask an AI to describe a vulnerability, and it will glad do so — no real vulnerability required. But the real problem was the multitude of times that the AI stack did demonstrate a problem, and failed to realize it. [Romy] has thoughts on why this attempt failed, and two points stand out. The first is that while the LLM can be creative in making attacks, it’s really terrible at accurately analyzing the results. The second observation is one of the most important observations to keep in mind regarding today’s AIs. It doesn’t actually want to find a vulnerability. One of the marks of security researchers is the near obsession they have with finding a great score.
DARPA
Don’t take the previous story to mean that AI will never be able do vulnerability research, or even that it’s not a useful tool right now. The US DARPA sponsored a competition at this year’s DEF CON, and another security professional pointed out that Buttercup AI Cyber REasoning System (CRS) is the second place winner. It’s now available as an Open Source project.
This challenge was a bit different from an open-ended attack on a VM. In the DARPA challenge, the AI tools are given specific challenges, and a C or Java codebase, and told to look for problems. Buttercup uses an AI-guided fuzzing approach, and one of the notable advantages with this challenge is that often times a vulnerability will cause an outright crash in the program, and that’s hard to miss, even for an AI.
Team Atlanta took first place, and has some notes on their process. Their first-place finish was almost derailed from the start, due to a path checking rule to comply with contest rules. The AI tools were provided fuzzing harnesses that they were not allowed to modify, and the end goal was for the AIs to actually write patches to fix the issues found. All of the challenges were delivered inside directories containing ossfuzz, triggering the code that protected against breaking the no modification rules. A hasty code hacking session right at the last moment managed to clear this, and saved the entire competition.
FortMajeure
We have this write-up from [0x_shaq], finding a very fun authentication bypass in FortiWeb. The core problem is the lack of validation on part of the session cookie. This cookie has a couple of sections that we care about. The Era field is a single digit integer that seems to indicate a protocol version or session type, while the Payload and AuthHash fields are the encrypted session information and signed hash for verification.
That Era field is only ever expected to be a 0 or a 1, but the underlying code processes the other eight possible values the same way: by accessing the nth element of an array, even if the array doesn’t actually have that many initialized elements. And one of the things that array will contain is the encryption/signing key for the session cookie. This uninitialized memory is likely to be mostly or entirely nulls, making for a very predictable session key.
Project Zero
Google has a couple interesting items on their Project Zero blog. The first is from late July, and outlines a trial change to disclosure timelines. The problem here is that a 90 day disclosure gives the immediate vendor plenty of time to patch an issue, but even with a 30 day extension, it’s a race for all of the downstream users to apply, test, and distribute the fix. The new idea is to add a one week vulnerability pre-disclosure. One week after a vulnerability is found, it’s existence is added to the chart of upcoming releases. So if you ship Dolby’s Unified Decoder in a project or product, mark your calendar for September 25, among the other dozen or so pre-released vulnerabilities.
The second item from Project Zero is a vulnerability found in Linux, that could be triggered from within the Chrome renderer sandbox. At the heart of the matter is the Out Of Band byte that could be sent as a part of Unix Sockets. This is a particularly obscure feature, and yet enabled by default, which is a great combination for security research.
The kernel logic for this feature could get confused when dealing with multiples of these one-byte messages, and eventually free kernel memory while a pointer is still pointing to it. Use the recv() syscall again on that socket, and the freed memory is accessed. This results in a very nice kernel memory read primitive, but also a very constrained write primitive. In this case, it’s to increment a single byte, 0x44 bytes into the now-freed data structure. Turning this into a working exploit was challenging but doable, and mainly consisted of constructing a fake object in user-controlled memory, triggering the increment, and then using the socket again to coerce the kernel into using the fake object.
Bits and Bytes
Cymulate has the story of a Microsoft NTLM patch that wasn’t quite enough. The original problem was that a Windows machine could be convinced to connect to a remote NTLM server to retrieve a .ico file. The same bug can be triggered by creating a shortcut that implies the .ico is embedded inside the target binary itself, and put that on a remote SMB share. It’s particularly bad because this one will acess the server, and leak the NTLM hash, just by displaying the icon on the decktop.
Xerox FreeFlow Core had a pair of exploits, the more serious of which could enable an unauthenticated RCE. The first is an XML External Entity (XXE) injection issue, where a user request could result in the server fetching remote content while processing the request. The more serious is a simple file upload with path traversal, making for an easy webshell dropper.
Claroty’s Team82 dug into the Axis Communications protocol for controlling security cameras, and found some interesting items. The Axis.Remoting protocol uses mutual TLS, which is good. But those are self-signed certificates that never validated, allowing for trivial man in the middle. The most serious issue was a JSON deserialization vulnerability, allowing for RCE on the service itself. Patches are available, and are particularly important for Axis systems that are available on the open Internet.
simona
Unknown parent • — (Livorno) •