Nel mezzo degli intensi combattimenti tra Iran e Israele, il cyberspazio è stato coinvolto in una nuova fase di conflitto. Con il lancio dell’operazione israeliana Rising Lion, mirata all’infrastruttura nucleare iraniana, lo scontro tra i due Paesi ha smesso di essere nascosto e si è trasformato in una vera e propria guerra informatica. Centinaia di vittime da entrambe le parti non sono state solo il risultato di attacchi missilistici, ma sono state anche accompagnate da attacchi devastanti nello spazio digitale.

In questo contesto, decine di gruppi di hacktivistisi sono attivati, scegliendo rapidamente da che parte stare nel conflitto e lanciando attacchi contro la parte avversa. Gli analisti hanno registrato la partecipazione di oltre cento diverse formazioni digitali, che agiscono o nell’interesse di Israele o, più spesso, a sostegno dell’Iran. securitylab.ru/news/560464.php

La parte iraniana ha reagito agli eventi con una severità senza precedenti. Le autorità del Paese hanno quasi completamente isolato il Paese dal mondo esterno: dal 13 giugno sono iniziate le massicce restrizioni all’accesso a Internet e, pochi giorni dopo, la capacità di traffico è stata ridotta di circa l’80%. I residenti sono stati costretti a passare all’intranet statale, mentre le autorità hanno raccomandato ai funzionari di interrompere l’utilizzo di qualsiasi dispositivo connesso e persino di WhatsApp .

I media statali hanno diffuso notizie di un massiccio attacco informatico da parte di Israele. Secondo i rapporti ufficiali, alcuni attacchi sono stati respinti, mentre altri hanno causato interruzioni all’infrastruttura digitale, che ora è in fase di ripristino da parte di team tecnici. Come alternativa al blocco di Internet e delle comunicazioni internazionali, si è registrato interesse per l’uso illegale dei terminali Starlink nel contesto delle restrizioni. Sebbene il loro utilizzo sia vietato in Iran, si stima che nel Paese possano essere presenti decine di migliaia di dispositivi di questo tipo.

D’altro canto, Israele si è dimostrato il principale bersaglio degli attacchi degli hacktivisti, sia in termini di numero di attacchi che di entità dei danni informatici. Secondo Radware, solo dal 13 giugno, il Paese ha subito più di 30 attacchi DDoS al giorno, e il numero ha continuato a crescere nei giorni successivi. Quasi il 40% di tutti gli attacchi DDoS degli hacktivisti registrati a livello mondiale è attualmente rivolto a Israele.

Ma gli attacchi DDoS sono solo la punta dell’iceberg. Il livello di protezione è crollato, fughe di dati, infezioni da malware e disinformazione si stanno diffondendo. Ad esempio, il 18 giugno, il gruppo Handala ha annunciato una fuga di dati di 425 GB dall’azienda di logistica israeliana Mor Logistics e ha ottenuto l’accesso a 4 TB di documenti classificati del Weizmann Institute of Science, colpito da un attacco missilistico iraniano il giorno prima.

Handala è solo uno delle decine di gruppi che prendono parte all’attacco a Israele. Oltre a quelli iraniani, sono diventati attivi anche gruppi provenienti dall’Asia meridionale e da altre regioni. Non si tratta solo di azioni caotiche di singoli gruppi, ma di un fronte informatico sincronizzato con una base ideologica comune e una propaganda mirata.

Tracker dei gruppi coinvolti nel conflitto militare Iran-Israele (CyberKnow)

Gli hacktivisti israeliani sono molto meno attivi, ma un recente attacco ha mostrato il loro potenziale distruttivo. Il gruppo Predatory Sparrow ha rivendicato la responsabilità di aver bloccato il sito web e gli sportelli bancomat della banca iraniana Bank Sepah, un’istituzione che gli Stati Uniti hanno precedentemente collegato al programma nucleare iraniano.

Il conflitto nel cyberspazio non si è limitato ai due Paesi. Gli attacchi si sono estesi anche a Stati formalmente neutrali, come Egitto, Arabia Saudita e soprattutto Giordania. Quest’ultima è diventata il bersaglio principale di attacchi al di fuori di Israele, presumibilmente per la sua “posizione morbida” nell’attuale conflitto. Gli attacchi informatici sono stati accompagnati da post di propaganda e hashtag che collegavano direttamente la neutralità di questi Paesi al tradimento della causa palestinese.

Gli esperti non escludono un’ulteriore escalation, soprattutto alla luce delle voci di un possibile coinvolgimento militare statunitense. Gli hacktivisti stanno già attivamente discutendo la possibilità di attacchi alle strutture digitali americane su Telegram. In risposta ai possibili rischi, i centri di scambio di informazioni di settore IT-ISAC e Food and Ag-ISAC hanno emesso un avviso congiunto, invitando le aziende americane a studiare urgentemente le tattiche e i comportamenti dei gruppi associati all’Iran.

La guerra digitale tra Iran e Israele non si limita più ad attacchi segreti. Tra esplosioni, morti e distruzione reali, si sta svolgendo nello spazio digitale uno scontro altrettanto feroce e pericoloso, con fronti ideologici, distruzione di infrastrutture e conseguenze imprevedibili per l’intera regione.

L'articolo I Cyber attacchi potrebbero diventare missili. L’escalation tra Iran e Israele e 100 gruppi di hacker in campo proviene da il blog della sicurezza informatica.

Meshtastic just released an eye-watering 9.5 CVSS CVE, warning about public/private keys being re-used among devices. And I’m the one that wrote the code. Not to mention, I triaged and fixed it. And I’m part of Meshtastic Solutions, the company associated with the project. This is is the story of how we got here, and a bit of perspective.

First things first, what kind of keys are we talking about, and what does Meshtastic use them for? These are X25519 keys, used specifically for encrypting and authenticating Direct Messages (DMs), as well as optionally for authorizing remote administration actions. It is, by the way, this remote administration scenario using a compromised key, that leads to such a high CVSS rating. Before version 2.5 of Meshtastic, the only cryptography in place was simple AES-CTR encryption using shared symmetric keys, still in use for multi-user channels. The problem was that DMs were also encrypted with this channel key, and just sent with the “to” field populated. Anyone with the channel key could read the DM.

I re-worked an old pull request that generated X25519 keys on boot, using the rweather/crypto library. This sentence highlights two separate problems, that both can lead to unintentional key re-use. First, the keys are generated at first boot. I was made painfully aware that this was a weakness, when a user sent an email to the project warning us that he had purchased two devices, and they had matching keys out of the box. When the vendor had manufactured this device, they flashed Meshtastic on one device, let it boot up once, and then use a debugger to copy off a “golden image” of the flash. Then every other device in that particular manufacturing run was flashed with this golden image — containing same private key. sigh

There’s a second possible cause for duplicated keys, discovered while triaging the golden image issue. On the Arduino platform, it’s reasonably common to use the random() function to generate a pseudo-random value, and the Meshtastic firmware is careful to manage the random seed and the random() function so it produces properly unpredictable values. The crypto library is solid code, but it doesn’t call random(). On ESP32 targets, it does call the esp_random() function, but on a target like the NRF52, there isn’t a call to any hardware randomness sources. This puts such a device in the precarious position of relying on a call to micros() for its randomness source. While non-ideal, this is made disastrous by the fact that the randomness pool is being called automatically on first boot, leading to significantly lower entropy in the generated keys.

Release 2.6.11 of the Meshtastic firmware fixes both of these issues. First, by delaying key generation until the user selects the LoRa region. This makes it much harder for vendors to accidentally ship devices with duplicated keys. It gives users an easy way to check, just make sure the private key is blank when you receive the device. And since the device is waiting for the user to set the region, the micros() clock is a much better source of randomness. And second, by mixing in the results of random() and the burnt-in hardware ID, we ensure that the crypto library’s randomness pool is seeded with some unique, unpredictable values.

The reality is that IoT devices without dedicated cryptography chips will always struggle to produce high quality randomness. If you really need secure Meshtastic keys, you should generate them on a platform with better randomness guarantees. The openssl binary on a modern Linux or Mac machine would be a decent choice, and the Meshtastic private key can be generated using openssl genpkey -algorithm x25519 -outform DER | tail -c32 | base64.

What’s Up with SVGs?

You may have tried to share a Scalable Vector Graphics (SVG) on a platform like Discord, and been surprised to see an obtuse text document rather than your snazzy logo. Browsers can display SVGs, so why do many web platforms refuse to render them? I’ve quipped that it’s because SVGs are Turing complete, which is almost literally true. But in reality it’s because SVGs can include inline HTML and JavaScript. IBM’s X-Force has the inside scoop on the use of SVG files in fishing campaigns. The key here is that JavaScript and data inside an SVG can often go undetected by security solutions.

The attack chain that X-Force highlights is convoluted, with the SVG containing a link offering a PDF download. Clicking this actually downloads a ZIP containing a JS file, which when run, downloads and attempts to execute a JAR file. This may seem ridiculous, but it’s all intended to defeat a somewhat sophisticated corporate security system, so an inattentive user will click through all the files in order to get the day’s work done. And apparently this tactic works.

*OS Spyware

Apple published updates to its entire line back in February, fixing a pair of vulnerabilities that were being used in sophisticated targeted attacks. CVE-2025-43200 was “a logic issue” that could be exploited by malicious images or videos sent in iCloud links. CVE-2025-24200 was a flaw in USB Restricted Mode, that allowed that mode to be disabled with physical access to a device.

What’s newsworthy about these vulnerabilities is that Citizen Lab has published a report that CVE-2025-43200 was used in a 0-day exploitation of journalists by the Paragon Graphite spyware. It is slightly odd that Apple credits the other fixed vulnerability, CVE-2025-24200, to Bill Marczak, a Citizen Lab researcher and co-author of this report. Perhaps there is another shoe yet to drop.

Regardless, iOS infections have been found on the phones of two separate European Journalists, with a third confirmed targeted. It’s unclear what customer contracted Paragon to spy on these journalists, and what the impetus was for doing so. Companies like Paragon, NSO Group, and others operate within a legal grey area, taking actions that would normally be criminal, but under the authority of governments.

A for Anonymous, B for Backdoor

WatchTowr has a less-snarky-than-usual treatment of a chain of problems in the Sitecore Experience that take an unauthenticated attacker all the way to Remote Code Execution (RCE). The initial issue here is the pre-configured user accounts, like default\Anonymous, used to represent unauthenticated users, and sitecore\ServicesAPI, used for internal actions. Those special accounts do have password hashes. Surely there isn’t some insanely weak password set for one of those users, right? Right? The password for ServicesAPI is b.

ServicesAPI is interesting, but trying the easy approach of just logging in with that user on the web interface fails with a unique error message, that this user does not have access to the system. Someone knew this could be a problem, and added logic to prevent this user from being used for general system access, by checking which database the current handler is attached to. Is there an endpoint that connects to a different database? Naturally. Here it’s the administrative web login, that has no database attached. The ServicesAPI user can log in here! Good news is that it can’t do anything, as this user isn’t an admin. But the login does work, and does result in a valid session cookie, which does allow for other actions.

There are several approaches the WatchTowr researchers tried, in order to get RCE from the user account. They narrowed in on a file upload action that was available to them, noting that they could upload a zip file, and it would be automatically extracted. There were no checks for path traversal, so it seems like an easy win. Except Sitecore doesn’t necessarily have a standard install location, so this approach has to guess at the right path traversal steps to use. The key is that there is just a little bit of filename mangling that can be induced, where a backslash gets replaced with an underscore. This allows a /\/ in the path traversal path to become /_/, a special sequence that represents the webroot directory. And we have RCE. These vulnerabilities have been patched, but there were more discovered in this research, that are still to be revealed.

The Day the Internet Went Down

OK, that may be overselling it just a little bit. But Google Cloud had an eight hour event on the 12th, and the repercussions were wide, including taking down parts of Cloudflare for part of that time on the same day.

Google’s downtime was caused by bad code that was pushed to production with insufficient testing, and that lacked error handling. It was intended to be a quota policy check. A separate policy change was rolled out globally, that had unintentional blank fields. These blank fields hit the new code, and triggered null pointer de-references all around the globe all at once. An emergency fix was deployed within an hour, but the problem was large enough to have quite a long tail.

Cloudflare’s issue was connected to their Workers KV service, a Key-Value store that is used in many of Cloudflare’s other products. Workers KV is intended to be “coreless”, meaning a cascading failure should be impossible. The reality is that Workers KV still uses a third-party service as the bootstrap for that live data, and Google Cloud is part of that core. When Google’s cloud starting having problems, so did Cloudflare, and much of the rest of the Internet.

I can’t help but worry just a bit about the possible scenario, where Google relies on an outside service, that itself relies on Cloudflare. In the realm of the power grid, we sometimes hear about the cold start scenario, where everything is powered down. It seems like there is a real danger of a cold start scenario for the Internet, where multiple giant interdependent cloud vendors are all down at the same time.

Bits and Bytes

Fault injection is still an interesting research topic, particularly for embedded targets. [Maurizio Agazzini] from HN Security is doing work on voltage injection against an ESP32 V3 target, with the aim of coercing the processor to jump over an instruction and interpret a CRC32 code as an instruction pointer. It’s not easy, but he managed 1.5% success rate at bypassing secure boot with the voltage injection approach.

Intentional jitter is used in many exploitation tools, as a way to disguise what might otherwise be tell-tale traffic patterns. But Varonis Threat Labs has produced Jitter-Trap, a tool that looks for the Jitter, and attempts to identify the exploitation framework in use from the timing information.

We’ve talked a few times about vibe researching, but [Craig Young] is only tipping his toes in here. He used an LLM to find a published vulnerability, and then analyzed it himself. Turns out that the GIMP despeckle plugin doesn’t do bounds checking for very large images. Back again to an LLM, to get a Python script to generate such a file. It does indeed crash GIMP when trying to despeckle, confirming the vulnerability report, and demonstrating that there really are good ways to use LLMs while doing security research.

hackaday.com/2025/06/20/this-w…

Di scuse per attaccare l'Iran, Israele ne ha iosa.
Certo è che la popolazione sotto il regime non se ne gioverà più di tanto.
Ma a Netanyahu non interessa.
Dal Blog.

noblogo.org/transit/l-atomica-…

Transit

2025-06-20 12:59:58

L' atomica del vicino è sempre più...

(170)

Intro.Più passano i giorni, più gli #USA e #Trump nicchiano, più le cose si ingarbugliano, più appare chiaro che l’attacco di Israele all’Iran ha solo nominalmente lo scopo di distruggere una ipotetica potenza nucleare. E’ tutt’altro. E, sicuramente, non sarà questa guerra a distruggere un regime teocratico sanguinario e opprimente. Anzi, forse riuscirà a renderlo più determinato nella sua opera di annichilimento dei diritti civili ed umani. Tutte cose che a #Netanyahu non interessano. A lui serve la poltrona e serve il sangue dei mussulmani, che si sa che a Occidente plaudono a chi si fa carico, finalmente, di queste cose (chissà le risate di Powell…).

Il recente attacco israeliano all’Iran – definito “Operation Rising Lion” – non può essere interpretato come un’operazione umanitaria finalizzata alla liberazione degli iraniani da un regime inumano, bensì come una mossa strategica di Benjamin Netanyahu per ampliare l’influenza e lo spazio geopolitico di Israele nella regione. Numerosi analisti evidenziano come l’obiettivo di Tel Aviv non sia la democratizzazione dell’Iran, ma piuttosto una forma di espansionismo politico-militare. Il “Financial Times” ha chiarito che, pur annichilendo elementi dell’apparato militare iraniano, l’azione di Israele non compromette il regime in sé, che acquisisce semmai una narrazione di resistenza e legittimità interna. In un articolo comparso su The Guardian, si sottolinea che l’offensiva “crudele ma strategica” può al contrario rafforzare l’unità nazionale iraniana e consolidare la leadership, invece di disgregarla.

Ma è l’analisi geopolitica a offrire chiavi interpretative più nette: secondo l’ISPI, l’operazione fornisce a Netanyahu strumenti politici interni ed esterni per consolidare il consenso e sfruttare la narrativa della sicurezza nazionale. In una analisi dell’Habtoor Research Centre, si legge che Tel Aviv ha orchestrato l’attenzione dei media e dei governi occidentali per ottenere sostegno diplomatico e militare, mentre la minaccia iraniana serve a distogliere l’attenzione dalle criticità domestiche.

“New Yorker” fa notare come l’attacco non sia frutto di un’escalation incontrollata: Netanyahu lo avrebbe voluto da tempo, per perseguire ambizioni ben precise, agendo appena Washington è apparsa debole o distratta. In realtà, mentre la narrazione ufficiale descrive queste operazioni come risposte a minacce imminenti – in particolare al rischio nucleare – molti commentatori ricordano come l’Iran non stesse effettivamente per ottenere la bomba, secondo agenzie internazionali quali AIEA e CIA, dando la misura del pretesto retorico usato da Tel Aviv.

Il rischio politico interno è lampante: fissando Netanyahu come “uomo della sicurezza”, le operazioni militari all’estero possono distogliere l’elettorato dai dossier interni e blindare la sua leadership qualora emergano scandali o critiche. Lo rivelano commentatori israeliani citati dal Guardian, che affermano come tali attacchi “frutto di un Netanyahu che capitalizza su un regime che sta perdendo legittimità e consenso”. Le prove emerse delineano un quadro nitido: l’operazione contro l’Iran non risponde all’urgente esigenza della popolazione iraniana, ma rappresenta per Netanyahu una straordinaria occasione politica di potenziamento internazionale e consolidamento interno. In gioco non vi è affatto un progetto di liberazione, bensì una manovra di influenza, territorio e consenso.

In conclusione.E se avesse delle fialette con del plutonio arricchito da scuotere, “Bibì” avrebbe finito il quadro.

#Blog #Israele #Iran #War #Medioriente #MiddleEast #Opinions #Geopolitica #Opinioni

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

L’Associazione Luca Coscioni ha inviato alla Commissione nazionale LEA del Ministero della Salute un documento contenente i risultati di un’indagine pubblica svolta per segnalare le gravi criticità nell’accesso agli ausili destinati alle persone con disabilità grave e complessa, come previsto dall’art. 30-bis della Legge n. 96/2017. L’obbligo di consultazione con le associazioni che si occupano di disabilità è stato imposto al Ministero a seguito della Class Action promossa dall’Associazione Luca Coscioni, vinta al Tar, impugnata dal Governo, e confermata dal Consiglio di Stato.

L’indagine, che ha raccolto oltre 300 testimonianze, di cui 234 utilizzate per l’analisi, ha evidenziato ritardi, contributi economici imposti agli utenti, scarsa personalizzazione, difficoltà di riparazione, qualità inadeguata e mancanza di libertà nella scelta dei fornitori. Gli ausili più critici risultano essere carrozzine elettroniche con seduta o comandi speciali, carrozzine ad autospinta superleggere e sistemi posturali complessi.

«Le evidenze raccolte – dichiara Rocco Berardo, Coordinatore delle iniziative per i diritti delle persone con disabilità dell’Associazione Luca Coscioni – confermano che le procedure ad evidenza pubblica, adottate per la fornitura di ausili, stanno penalizzando le persone con disabilità più complesse. Tempi di attesa insostenibili, costi aggiuntivi a carico delle famiglie e l’impossibilità di ricevere ausili realmente personalizzati stanno vanificando il diritto all’assistenza protesica sancito nei LEA. È indispensabile che gli ausili più critici vengano inseriti nell’elenco 1 dell’allegato 5 del DPCM 12 gennaio 2017, e che venga garantita concretamente la possibilità di personalizzazione e riparazione, come previsto dalla normativa. Le persone con disabilità non possono più essere lasciate sole a pagare il prezzo dell’inefficienza del sistema.»

L’Associazione Luca Coscioni continuerà a monitorare l’attuazione dei diritti delle persone con disabilità e chiede un intervento urgente per garantire un sistema equo, efficace e rispettoso della dignità di ogni individuo.

L'articolo La nostra indagine sui dispositivi protesici è stata consegnata alla Commissione LEA del Ministero della Sanità proviene da Associazione Luca Coscioni.

Filomena Gallo e Marco Cappato commentano: “Dalla maggioranza un atto di irresponsabilità. La competenza regionale è applicata in Toscana, dove la legge è operativa”

“Il Consiglio regionale dell’Abruzzo si è dichiarato incompetente a normare ciò che il Servizio sanitario regionale già è obbligato a fare: dare risposta a chi chiede di essere aiutato a morire. La decisione presa dalla maggioranza è un atto di irresponsabilità nei confronti delle persone malate e dei medici, privati di ogni garanzia sui tempi e sulle modalità per chiedere e ottenere l’aiuto alla morte volontaria. La competenza regionale è stata correttamente applicata dalla Regione Toscana, la cui norma è perfettamente operativa, pur essendo stata impugnata dal Governo.

La questione continuerà a gravare anche sul Servizio sanitario abruzzese, che ha comunque il dovere di rispettare la sentenza “Cappato-Dj Fabo” della Corte costituzionale intervenendo “prontamente” come stabilito dalla stessa Corte nel 2024. Un “dovere” dimostrato anche dalle numerose condanne subite dalle Asl che si sono rifiutate di farlo.

L’assenza di scadenze definite per legge determina lunghi tempi di attesa, come i 2 anni attesi da Federico Carboni e Laura Santi.

Come Associazione Luca Coscioni continueremo ad aiutare le persone che lo chiederanno a far valere i loro diritti, a denunciare nei tribunali i ritardi nelle risposte del Servizio sanitario e ad aiutare anche materialmente chi ne ha diritto a ottenere l’autosomministrazione del farmaco per il “suicidio assistito” anche in Abruzzo.

Ringraziamo le 8.119 persone che hanno reso possibile, con la loro firma, il dibattito sulla legge regionale “Liberi Subito” e tutte le Consigliere e Consiglieri regionali che non hanno nascosto la testa sotto la sabbia e che erano pronti a esprimersi nel merito”.

L'articolo Il Consiglio regionale dell’Abruzzo boccia “Liberi Subito” proviene da Associazione Luca Coscioni.

L’avvocata Filomena Gallo, Segretaria nazionale dell’Associazione Luca Coscioni, partecipa in qualità di relatrice al convegno Democrazia e partecipazione sul tema del fine vita: l’esperienza francese, organizzato su iniziativa della Vicepresidente del Senato, Mariolina Castellone.

L’appuntamento è per martedì 24 giugno 2025, dalle ore 14:00 alle ore 15:30, presso la Sala Nassirya del Senato della Repubblica, in Piazza Madama 11 a Roma. Sarà, comunque, possibile seguire la diretta sei lavori anche sulla TV del Senatoe sulla pagina Facebook della senatrice Mariolina Castellone.

Oltre a Filomena Gallo interverranno i membri della Convenzione cittadina sul fine vita Bintou Mariko e Marc-Olivier Strauss-Khan, l’avvocata Giovanna Marsico, Direttrice del Centro nazionale francese del fine vita e delle cure palliative, Christèle Gautier, già consigliera di Gabinetto delle ministre Agnes Firmin le Bodo e Catherine Vautrin, le senatrici Anna Bilotti, membro del Comitato ristretto sul fine vita, e Alessandra Maiorino, Vicepresidente vicaria del Gruppo del Movimento 5 Stelle. Introduce la senatrice Mariolina Castellone, vicepresidente del Senato, modera la giornalista Valentina Petrini.

Informazioni utili

L’accesso in sala – con abbigliamento consono e per gli uomini con l’obbligo di giacca e cravatta – è consentito fino al raggiungimento della capienza massima. In caso di esaurimento posti in presenza, la conferenza potrà essere seguita in streaming sui canali ufficiali.

Gli ospiti e i giornalisti devono accreditarsi scrivendo a: mariadomenica.castellone@senato.it

Le opinioni e i contenuti espressi nell’ambito dell’iniziativa sono nell’esclusiva responsabilità dei proponenti e dei relatori e non sono riconducibili in alcun modo al Senato della Repubblica o ad organi del Senato medesimo.

L'articolo Filomena Gallo partecipa al convegno “Democrazia e partecipazione sul tema del fine vita: l’esperienza francese” proviene da Associazione Luca Coscioni.

[Anton Gaia]’s SPIRAL sculpture resembles an organizer or modern shelving unit, but what’s really interesting is how it goes together. It’s made entirely from assembling copies of a single component (two, if you count the short ‘end pieces’ as separate) without a fastener in sight. [Anton] made the 3D model available, so check it out for yourself!
The self-similar design of the joint, based on the golden spiral, makes a self-supporting joint that requires neither glue nor fasteners.
The ends of each part form a tight, spiral-shaped joint when assembled with its neighbors. Parts connect solely to themselves without any need of fasteners or adhesives.

The end result is secure, scalable, and with a harmonious structure that is very pleasing to look at. Small wonder [Anton] used it as the basis for artistic work. You can see more pictures here.

The design of the joint is based on the golden spiral (which it turns out is also be a pretty useful chicken coop architecture.)

The parts lend themselves quite well to 3D printing, and we’d like to take a moment to appreciate that [Anton] shared the .step file instead of just an STL. STEP (or STP) files can be imported meaningfully into CAD programs, making it much easier to incorporate the design into one’s own work. STEP is also supported natively in many 3D printer slicers, so there’s no need to convert formats just to print them.

A brief video describing SPIRAL is embedded just below, with a closer look at how the pieces fit together.

youtube.com/embed/y0t-MZ7YiUQ?…

hackaday.com/2025/06/20/spiral…

È stata scoperta una nuova versione del malware Android Godfather che crea ambienti virtuali isolati sui dispositivi mobili per rubare dati dalle applicazioni bancarie.

Ricordiamo che Godfather è stato individuato per la prima volta a marzo 2021 dai ricercatori di ThreatFabric. Da allora, il malware bancario ha subito cambiamenti significativi ed è molto diverso dall’ultimo campione studiato da Group-IB nel dicembre 2022. All’epoca, il malware aveva attaccato 400 applicazioni di criptovalute e servizi bancari in 16 paesi utilizzando overlay HTML.

Come spiegano ora gli specialisti di Zimperium, che hanno scoperto una nuova versione del malware, il malware viene eseguito sul dispositivo in un ambiente virtuale controllato, che consente di spiare in tempo reale, rubare credenziali e manipolare transazioni, mantenendo al contempo un affidabile camuffamento.

Questa tattica è stata individuata per la prima volta alla fine del 2023 nel malware FjordPhantom per Android, che sfruttava anch’esso la virtualizzazione per eseguire applicazioni bancarie all’interno di container per evitare di essere rilevato.

Tuttavia, mentre FjordPhantom ha preso di mira solo gli utenti del Sud-est asiatico, l’ambito di attacco di Godfather è molto più ampio: colpisce oltre 500 applicazioni bancarie, di criptovalute e di e-commerce in tutto il mondo. Gli attacchi di Godfather utilizzano un file system virtuale, un ID di processo virtuale, l’Intent spoofing e la tecnologia StubActivity.

Di conseguenza, affermano gli esperti, l’utente vede solo l’interfaccia reale dell’applicazione e gli strumenti di sicurezza Android non rilevano attività dannose, poiché nel manifest vengono dichiarate solo le azioni dell’applicazione host. Godfather viene distribuito come file APK che contiene un framework di virtualizzazione integrato. Il malware utilizza strumenti open source come VirtualApp e Xposed per intercettare le chiamate.

Una volta attivato sul dispositivo della vittima, il malware verifica la presenza di applicazioni target installate e, se le trova, le inserisce nel suo ambiente virtuale e utilizza StubActivity per l’esecuzione all’interno del contenitore host.

StubActivity è essenzialmente un’Activity fittizia incorporata in un APK dannoso con un motore di virtualizzazione. Non ha un’interfaccia utente o una logica propria: funge solo da proxy, creando un contenitore e avviando Activity reali da applicazioni target (ad esempio, bancarie) all’interno di un ambiente virtuale. In questo modo, Godfather inganna Android facendogli credere che si stia avviando un’applicazione legittima, quando in realtà è il malware a intercettarla e controllarla.

Quando l’utente avvia l’applicazione bancaria reale, Godfather, a cui è stata precedentemente concessa l’autorizzazione a utilizzare il Servizio di Accessibilità, intercetta l’Intent e lo inoltra alla StubActivity all’interno dell’applicazione host. Di conseguenza, una copia virtualizzata dell’applicazione bancaria viene avviata all’interno del contenitore.

Di conseguenza, l’utente vede l’interfaccia reale dell’applicazione, ma tutti i dati riservati ad essa associati possono essere facilmente intercettati. Il suddetto Xposed viene utilizzato per l’API hooking e Godfather ottiene la possibilità di salvare credenziali, password, PIN, tracciare i tocchi e ricevere risposte dal backend bancario.

Inoltre, nei momenti chiave, il malware mostra una falsa sovrapposizione per indurre la vittima a inserire un PIN o una password. Dopo aver raccolto e trasmesso tutti i dati ai suoi operatori, Godfather attende ulteriori comandi dagli hacker per sbloccare il dispositivo, eseguire determinate operazioni con l’interfaccia utente, aprire l’applicazione ed effettuare un pagamento/trasferimento dall’applicazione bancaria reale.

Inoltre, in questo momento l’utente vede una falsa schermata di “aggiornamento” o una schermata nera, in modo che eventuali attività sospette non attirino la sua attenzione. Sebbene la campagna scoperta da Zimperium abbia preso di mira solo alcune app bancarie turche, i ricercatori avvertono che altri operatori di Godfather potrebbero selezionare altri sottoinsiemi delle 500 app prese di mira per attaccare in altre regioni.

L'articolo Android sotto attacco: il malware Godfather ora usa la virtualizzazione per ingannare tutti proviene da il blog della sicurezza informatica.