Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento delle vulnerabilità dei dispositivi.

I ricercatori di ThreatFabric hanno segnalato il trojan PhantomCard, che utilizza la tecnologia di comunicazione contactless per condurre attacchi relay. Gli aggressori ottengono i dati della carta della vittima trasmettendoli tramite un server controllato al dispositivo di un complice situato vicino a un terminale di pagamento o a un bancomat. Questo crea un canale che consente di effettuare transazioni come se la carta fosse fisicamente in possesso del criminale.

PhantomCard viene distribuito tramite pagine Google Play false, camuffate da app “Proteção Cartões”, con false recensioni positive. Una volta installato, il programma chiede all’utente di collegare una carta di credito allo smartphone “per la verifica” e di inserire un PIN, che viene inviato all’aggressore. Un’applicazione equivalente sul dispositivo del complice garantisce la sincronizzazione con il terminale di pagamento.

ThreatFabric afferma che l’azienda è dietro lo sviluppo del malware brasiliano Go1ano, che utilizza la piattaforma cinese NFU Pay, che offre servizi simili nell’ambito di un servizio di abbonamento per la diffusione di malware. Soluzioni simili includono SuperCard X , KingNFC e X/Z/TX-NFC. Gli esperti avvertono che tali servizi ampliano la superficie di attacco rimuovendo le barriere linguistiche e infrastrutturali.

I rapporti di Resecurity di luglio ha rilevato che i paesi del Sud-est asiatico, in particolare le Filippine, sono diventati un banco di prova per le frodi contactless. Lì, l’aumento dei pagamenti NFC, soprattutto per piccoli importi che non richiedono un PIN, rende le transazioni non autorizzate più facili e difficili da tracciare.

Allo stesso tempo, K7 Security ha identificato una campagna in India con un malware Android chiamato SpyBanker, distribuito tramite WhatsApp sotto le mentite spoglie di un’app di assistenza clienti bancaria. Modifica il numero di inoltro di chiamata con uno preimpostato per intercettare le chiamate in arrivo e raccoglie dati della scheda SIM, informazioni bancarie, SMS e notifiche.

Un altro vettore di attacco in India riguarda app di credito false, spacciate per grandi banche, scaricate da pagine di phishing. Secondo McAfee, questi APK agiscono come “dropper”, scaricando un modulo dannoso una volta installati. All’utente viene presentata un’interfaccia che imita quella reale, con moduli per l’inserimento di nome completo, numero di carta, CVV, data di scadenza e numero di telefono.

La funzionalità integrata consente al miner di criptovalute XMRig di essere avviato quando vengono ricevuti determinati messaggi tramite Firebase Cloud Messaging. Per mascherare la pagina, vengono caricate immagini e script da siti bancari reali, aggiungendo pulsanti di download che portano a file infetti.

La diversità degli schemi utilizzati dimostra che i dispositivi mobili stanno diventando sempre più il centro di attacchi finanziari e che la fiducia nei canali di comunicazione e di pagamento familiari sta diventando il principale anello vulnerabile nella protezione degli utenti.

L'articolo Hai la carta di credito in tasca? I Criminal hacker ringraziano! proviene da il blog della sicurezza informatica.

One of the practical upsides of improved computer vision systems and machine learning has been the ability of computers to translate text from one language or format to another. [Jchen] used this to develop Braille Vision which can turn inaccessible text into braille on the go.

Using a headless Raspberry Pi 4 or 5 running Tesseract OCR, the device has a microswitch shutter to take a picture of a poster or other object. The device processes any text it finds and gives the user an audible cue when it is finished. A rotary knob on the back of the device then moves the braille display pad through each character. When the end of the message is reached, it then cycles back to the beginning.

Development involved breadboarding an Arduino hooked up to some MOSFETs to drive the solenoids for the braille display until the system worked well enough to solder together with wires and perfboard. Everything is housed in a 3D printed shell that appears similar in size to an old Polaroid instant camera.

We’ve seen a vibrating braille output prototype for smartphones, how blind makers are using 3D printing, and are wondering what ever happened with “tixel” displays? If you’re new to braille, try 3D printing your own trainer out of TPU.

youtube.com/embed/EfGsyqIRnGQ?…

hackaday.com/2025/08/15/this-p…

Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFingerprintingProtectionEnabled). Questa funzionalità bloccherà gli script di terze parti che utilizzano tecniche di fingerprinting per identificare nuovamente un utente su diversi siti web.

Nell’implementazione attuale, il blocco non interesserà tutti gli script, ma solo i domini di una speciale Marked Domain List (MDL). La restrizione verrà attivata se uno script di questo tipo viene avviato come terza parte e tenta di estrarre dati senza autorizzazione.

La tecnologia mira a contrastare l’abuso delle API web che consentono di acquisire informazioni aggiuntive sul sistema, ad esempio tramite canvas, WebGL, font o codec audio. Questi metodi vengono spesso utilizzati per creare segretamente un ID utente univoco. Google propone di modificare la specifica Fetch in modo che i browser dispongano di un “hook” standard per bloccare o sostituire le richieste dopo controlli comuni come CSP o contenuti misti.

Test recenti dimostrano che, ad esempio, visitando il sito web di un ristorante che contiene uno script di terze parti integrato con metodi di identificazione digitale (impronte digitali del browser), è possibile generare un ID utente univoco e trasmetterlo, ad esempio, a un sistema pubblicitario. Quest’ultimo, utilizzando lo stesso script su un’altra risorsa, sarà in grado di confrontare i dati e tracciare l’utente senza utilizzare cookie. La nuova funzionalità in modalità di navigazione in incognito blocca il caricamento di tale script, impedendo la creazione di un ID.

Soluzioni simili sono già utilizzate dai concorrenti: Safari ha la funzione Intelligent Tracking Prevention e Firefox ha la Enhanced Tracking Protection .Anche Microsoft Edge offre una protezione anti tracciamento integrata.

A differenza di Firefox e Safari, che bloccano gli script di tracciamento in modalità normale, Chrome attualmente implementa questo approccio solo in modalità di navigazione in incognito e per elenco di domini. Google ha sottolineato che non prevede di abilitare la funzionalità per impostazione predefinita in tutti i browser basati su Chromium.

Se la protezione funziona, nella barra degli indirizzi apparirà un’icona a forma di “occhio“. L’utente potrà disattivare il blocco per un sito specifico o disattivare completamente la funzione nelle impostazioni se interferisce con la risorsa.

Pertanto, la nuova tecnologia di Chrome è progettata per rendere più difficile il tracciamento tramite impronte digitali del browser, ma la sua efficacia dipenderà dalla pertinenza dell’elenco MDL e dalla volontà degli utenti di utilizzare la modalità di navigazione in incognito.

L'articolo Google Chrome a tutta Privacy! Un nuovo blocco per gli script in modalità incognito proviene da il blog della sicurezza informatica.

Diciotto anni dopo che un ictus al tronco encefalico ha lasciato Anne Johnson quasi completamente paralizzata, Questo grazie a un’interfaccia cervello-computer (BCI) che converte il parlato direttamente dai segnali cerebrali. Nel 2005, all’età di 30 anni, l’insegnante e preparatrice di atletica del Saskatchewan ha subito una lesione cerebrale che le ha causato la sindrome locked-in, in cui rimane cosciente ma incapace di parlare o muoversi.

Per anni, ha comunicato attraverso un sistema di eye tracking, parlando a una velocità di circa 14 parole al minuto, significativamente più lenta delle 160 parole che una persona pronuncia normalmente. Nel 2022, è diventata la terza partecipante a uno studio clinico condotto dall’Università della California, Berkeley, e dall’UCSF che mira a ripristinare la parola nelle persone con paralisi grave.

Il sistema neuroprotesico utilizzato registra l’attività elettrica nell’area corticale responsabile dell’articolazione, bypassando le vie di trasmissione del segnale danneggiate. Un impianto con una serie di elettrodi intracranici viene posizionato sulla superficie di quest’area. Quando il paziente cerca di pronunciare le parole, i sensori registrano i modelli caratteristici di attività e li trasmettono a un computer. Gli algoritmi di apprendimento automatico convertono quindi i flussi di segnali neurali in testo, sintesi vocale o espressioni facciali di un avatar digitale, comprese espressioni di base come un sorriso o un’espressione accigliata.

Inizialmente, il sistema funzionava su modelli sequenziali che producevano risultati solo dopo il completamento dell’intera frase, il che causava un ritardo di circa otto secondi. Nel marzo 2025, Nature Neuroscience ha segnalato il passaggio a un’architettura streaming: ora la conversione viene eseguita quasi in tempo reale, con una pausa di circa un secondo.

Per la massima personalizzazione, gli sviluppatori hanno ripristinato il timbro e l’intonazione della registrazione del discorso di nozze di Johnson del 2004 e hanno anche reso possibile scegliere l’aspetto dell’avatar in modo che fosse riconoscibile e trasmettesse segnali visivi familiari.

I responsabili del progetto – il professore associato di ingegneria elettrica e informatica dell’Università della California, Berkeley, Gopala Anumanchipalli, il neurochirurgo dell’Università della California, Berkeley, Edward Chang, e lo studente laureato di Berkeley, Kylo Littlejohn – vedono l’obiettivo finale nella tecnologia plug-and-play che renderebbe i prototipi strumenti clinici standard.

Gli obiettivi a breve termine includono lo sviluppo di impianti completamente wireless che eliminino la necessità di una connessione fisica a un computer e la creazione di avatar più realistici per la comunicazione naturale. In futuro, prevedono di passare a “sosia” digitali in grado di riprodurre non solo una voce, ma anche uno stile di comunicazione familiare insieme a segnali non verbali.

Questa tecnologia è particolarmente importante per un gruppo ristretto ma vulnerabile di persone che hanno perso la parola a causa di ictus, SLA o traumi. Gli sviluppatori sottolineano un aspetto etico fondamentale: la decodifica viene attivata solo quando si tenta consapevolmente di pronunciare le parole. Questo consente all’utente di mantenere il controllo sulla comunicazione e riduce al minimo il rischio di invasione dello spazio personale.

Per Anne, partecipare al programma è stata una pietra miliare: sta valutando la possibilità di lavorare come consulente in un centro di riabilitazione e di condurre conversazioni con i clienti attraverso una neuroprotesi. Con l’attuale latenza di circa un secondo e i modelli di intelligenza artificiale in rapido miglioramento, i gruppi di ricerca sono cauti sulle possibilità che i sistemi di ripristino della voce siano pronti per l’uso di massa nel prossimo futuro. In sostanza, stiamo parlando di una tecnologia che ripristina la voce di coloro che l’hanno persa e rende il dialogo di nuovo naturale, non attraverso una lenta “digitazione oculare”, ma in una forma familiare dal vivo.

L'articolo Dopo 18 anni di silenzio, Anne ricomincia a parlare. La nuova tecnologia BCI dell’università di Berkeley proviene da il blog della sicurezza informatica.

Musk ha recentemente dichiarato pubblicamente che il suo controllo sull’azienda è precario e che “potrebbe essere estromesso”. La controversia è nata dalle preoccupazioni espresse pubblicamente da Musk in merito alla sua partecipazione. A quanto pare, Musk ha recentemente risposto sulla piattaforma social X, affermando che la sua attuale quota di circa il 12,8% non è sufficiente a garantire la sua posizione dominante nell’azienda.

Teme di poter essere “cacciato” dagli azionisti attivisti in futuro, quando l’azienda produrrà “milioni di robot”. Di recente, un post ha menzionato che la quota azionaria di Musk era del 21,2% e ha suggerito che la maggior parte delle azioni era stata utilizzata come garanzia per un prestito.

Musk ha risposto: “Solo per informazione, al momento non ho prestiti personali garantiti da azioni Tesla”. Ha anche osservato che l’aliquota fiscale sulle sue stock option è vicina al 45%, il che significa che il suo aumento netto del controllo di voto è pari solo al 4% circa. Musk ha affermato che spera di possedere circa il 25% delle azioni della società per acquisire sufficiente influenza per orientare la direzione di sviluppo dell’azienda.

Tutto questo dopo che il Tesla Diner, il ristorante fast food venne annunciato nel 2018, con la promessa della nascita di un locale che fosse stato allo stesso tempo retrò e futuristico è stato ampiamente criticato. Finora la società statunitense ha raccolto solo problemi e critiche più che elogi sulla recentissima novità. Prodotti mancanti e non troppo convincenti, lunghe attese e novità innovative presentate in sede di inaugurazione ma già scomparse.

In questa prima fase di lancio del progetto la platea statunitense ha risposto presente, ma non ha trovato esattamente quanto annunciato dal colosso della mobilità elettrica. I possessori di Tesla hanno corsie preferenziali per essere serviti e continuano a frequentare il locale, ma i dubbi per il futuro sono sempre più crescenti.

Nel parcheggio ci sono ottanta posti per auto Tesla, che possono essere ricaricate mentre il cliente è all’interno del ristorante. Una delle innovazioni più pubblicizzata riguardava la presenza di robot umanoidi Optimus nel locale. Nel giorno dell’inaugurazione servivano popcorn alla clientela, nel secondo giorno hanno smesso di essere operativi.

La Tesla ha già messo fuori uso i robot lavoratori. Al momento, sono conservati in teche al piano superiore del fast food, suscitando una certa delusione tra i clienti che li avevano visti operare sui social e sono arrivati sul posto per trovarli inattivi. Il ristorante ha inoltre riscontrato problemi tecnici, con lunghe code dovute all’inefficienza dei dispositivi automatici.

L'articolo Musk rivela che potrebbe perdere il controllo di Tesla proviene da il blog della sicurezza informatica.

We often think that if a piece of software had the level of documentation you usually see for hardware, you wouldn’t think much of it. Sure, there are exceptions. Some hardware is beautifully documented, and poorly documented software is everywhere. [Graham Sutherland’s] been reviewing schematics and put together some notes on what makes a clean schematic.

Like coding standards, some of these are a bit subjective, but we thought it was all good advice. Of course, we’ve also violated some of them when we are in a hurry to get to a simulation.

Most of the rules are common sense: use enough space, add labels, and avoid using quirky angles. [Flannery O’Connor] once said, “You can do anything you can get away with, but nobody has ever gotten away with much.” She was talking about writing, but the same could be said about schematics.

[Graham] says as much, pointing out that these are more guidelines. He even points out places where you might deliberately break the rules. For example, in general, wires should always go horizontally or vertically. However, if you are crossing two parallel wires, you probably should.

So what are your schematic rules? Software has standards like MISRA, CERT, and various NASA standards. Oddly enough, one of our favorite quick schematic editors is truly terrible but obeys most of these rules. But you can surely do better than that.

hackaday.com/2025/08/15/sugges…

Around the globe, some classrooms are using fancy digital handheld devices to let people answer questions. One such example of this hardware is the Smart Response PE. These devices are largely useless outside the classroom, so [Ray Burne] decided to hack one for our 2025 One Hertz Challenge.

The Smart Response PE device is similar in shape and size to an old-school candybar cellphone. It runs on a Texas Instruments CC2533 microcontroller, which drives a simple black-and-white LCD. User interface is via a numeric keypad and a few extra control buttons on the front panel. Thanks to Github user [serisman], there are readily available development tools for this hardware. [Ray] notes it provides a straightforward Arduino-like programming experience.

[Ray] decided to modify the hardware to act as a stopwatch. But not just one stopwatch—ten stopwatches at once! Pressing a number from 0 to 9 will activate that given timer, and it will start ticking up on the LCD screen. One can pause the screen updates to get a temporary laptime reading by pressing the enter key. Meanwhile, pressing the Home button will reset the screen and all timers at once. [Ray] also explains on the project page how to add a real power switch to the device, and how to modify the programming pins for easy access.

It’s a fun build, and one that could prove useful if you regularly find yourself having to time ten of something at once. Maybe eggs? In any case, it’s certainly easier than juggling ten separate stopwatches at once! Meanwhile, if you’re hacking your own obscure hardware finds, don’t hesitate to notify the tipsline!

hackaday.com/2025/08/15/2025-o…

L’idea di collegare modelli linguistici di grandi dimensioni a fonti di dati esterne sta rapidamente passando dalla sperimentazione alla pratica quotidiana. ChatGPT ora non solo può condurre conversazioni, ma anche interagire con Gmail, GitHub, calendari e sistemi di archiviazione file, in teoria per semplificare la vita all’utente. Ma un numero maggiore di queste connessioni significa anche maggiori vulnerabilità. Una ricerca presentata alla conferenza Black Hat di Las Vegas ha dimostrato come un singolo allegato dannoso possa essere la chiave per una fuga di dati personali.

Gli autori dell’attacco hanno descritto una debolezza nel sistema Connectors, recentemente aggiunto a ChatGPT. Questo meccanismo consente di collegare un account utente a servizi come Google Drive, in modo che il chatbot possa visualizzare i file e utilizzarne il contenuto per rispondere. Tuttavia, si è scoperto che può essere utilizzato per estrarre informazioni riservate, e per farlo l’utente non ha nemmeno bisogno di aprire o cliccare nulla. È sufficiente inviare un documento al Google Drive collegato, al cui interno è nascosto un suggerimento appositamente predisposto: un prompt.

In una dimostrazione dell’attacco, denominata AgentFlayer, i ricercatori hanno nascosto un’istruzione dannosa in un falso post su un “incontro con Sam Altman”, utilizzando testo bianco e una dimensione minima del carattere. È appena percettibile per gli esseri umani, ma facile da leggere per gli LLM. Una volta che l’utente chiede a ChatGPT di “riassumere l’incontro”, il modello esegue l’istruzione nascosta, interrompe l’esecuzione della richiesta e cerca invece le chiavi API su Google Drive. Le aggiunge quindi a un URL Markdown che sembra puntare a un’immagine. In realtà, si tratta di un collegamento al server degli aggressori, dove vengono inviati i dati.

Sebbene il metodo non consenta di scaricare interi documenti in una sola volta, frammenti di informazioni importanti, come chiavi, token e credenziali di accesso, possono essere estratti all’insaputa dell’utente. Inoltre, l’intero schema funziona in zero clic: non è necessario che l’utente esegua alcuna azione, confermi o apra un file. Secondo Barguri, è sufficiente conoscere l’indirizzo email per infiltrarsi nell’infrastruttura attendibile senza essere notati.

Per aggirare il meccanismo di protezione url_safe che OpenAI aveva precedentemente implementato per filtrare i link dannosi, i ricercatori hanno utilizzato URL legittimi da Microsoft Azure Blob Storage. In questo modo, l’immagine è stata effettivamente scaricata e la richiesta con i dati è finita nei file di log dell’aggressore. Questa mossa ha dimostrato quanto sia facile aggirare i filtri di base se un aggressore conosce l’architettura interna del modello.

Sebbene i Connector fossero originariamente concepiti come un utile componente aggiuntivo, per integrare calendari, fogli di calcolo cloud e conversazioni direttamente nella conversazione basata sull’intelligenza artificiale, la loro implementazione amplia la cosiddetta superficie di attacco. Più fonti sono connesse a LLM, maggiore è la probabilità che da qualche parte ci siano input non ripuliti e “non attendibili”. E tali attacchi possono non solo rubare dati, ma anche fungere da ponte verso altri sistemi vulnerabili dell’organizzazione.

OpenAI ha già ricevuto una segnalazione del problema e ha rapidamente implementato misure di protezione, limitando il comportamento dei Connector in tali scenari. Tuttavia, il fatto che un attacco di questo tipo sia stato implementato con successo evidenzia i pericoli delle iniezioni di prompt indirette, un metodo in cui i dati infetti vengono immessi in un modello come parte del contesto, che, sulla base di questi dati, esegue azioni nell’interesse dell’aggressore.

Google, a sua volta, ha risposto alla pubblicazione affermando che, indipendentemente dal servizio specifico, lo sviluppo di una protezione contro le iniezioni rapide è uno dei vettori chiave della strategia di sicurezza informatica, soprattutto alla luce della sempre più densa integrazione dell’intelligenza artificiale nelle infrastrutture aziendali.

E sebbene le possibilità offerte da LLM tramite la connessione a fonti cloud siano davvero enormi, richiedono un ripensamento degli approcci di sicurezza. Tutto ciò che in precedenza era protetto da restrizioni di accesso e meccanismi di autenticazione può ora essere aggirato tramite un singolo prompt nascosto in una riga di testo poco appariscente.

L'articolo Basta conoscere l’indirizzo email e ChatGPT ti dirà tutto! La nuova realtà dei “Connector” proviene da il blog della sicurezza informatica.

Il giovane fondatore cinese Jiang Zheyuan, a soli 27 anni, guida la startup Songyan Dynamics, specializzata in robot umanoidi. Con circa 140 dipendenti, Jiang si occupa personalmente di ogni aspetto dell’azienda, dallo sviluppo tecnologico alla produzione.

Il robot di punta, l’N2, alto 120 cm, si è fatto conoscere al grande pubblico quando, ad aprile, ha conquistato il secondo posto nella mezza maratona di robot di Pechino, trasmessa in diretta in tutta la Cina. Questo risultato, unito al prezzo competitivo di 39.000 yuan (circa 4600 euro), ha alimentato l’immagine dell’azienda come la “Xiaomi della robotica”.

Fondata nel settembre 2023, Songyan Dynamics ha sviluppato un prototipo funzionante di robot umanoide in meno di un mese, attirando rapidamente finanziamenti da investitori privati e dal governo di Pechino. Tuttavia, nei primi mesi l’azienda ha faticato a trovare clienti e ha affrontato una crisi finanziaria, con vendite quasi inesistenti e costi in aumento. La mancanza di un team commerciale e di marketing ha spinto Jiang a concentrare gli sforzi esclusivamente sull’innovazione hardware, puntando su funzionalità spettacolari per catturare l’attenzione del mercato.

La scelta vincente è stata sviluppare la capacità del robot di eseguire salti mortali all’indietro, uno dei movimenti più complessi per un umanoide. A marzo, Songyan Dynamics ha diffuso un video dell’N2 che compiva più backflip consecutivi, dimostrando avanzate capacità di equilibrio e coordinazione. La performance, insieme a un prezzo inferiore della metà rispetto al principale concorrente Unitree, ha dato all’azienda un vantaggio competitivo significativo e un’immediata visibilità.

La partecipazione alla maratona di aprile ha rappresentato una vetrina decisiva per Songyan Dynamics. Per un mese intero, il team ha lavorato senza sosta per migliorare la resistenza dell’N2, consentendogli di completare la gara e consolidare la sua reputazione di robot stabile e affidabile. La competizione ha dimostrato che le prestazioni non erano solo da laboratorio, ma replicabili in contesti impegnativi e reali.

Il successo mediatico e tecnico si è tradotto in un boom commerciale senza precedenti: entro un mese dalla gara, sono arrivati ordini per oltre 1.000 unità. Questo risultato ha trasformato l’azienda, facendole superare rapidamente la fase di difficoltà iniziale e aprendo prospettive di espansione sia sul mercato cinese che internazionale.

Il valore di Songyan Dynamics è cresciuto in modo vertiginoso, passando dai circa 300 milioni di yuan di inizio anno ai 2 miliardi di yuan a giugno. Guardando al futuro, Jiang Zheyuan ha già fissato il prossimo obiettivo: sviluppare un robot per le pulizie domestiche entro cinque anni, puntando a replicare l’impatto mediatico e commerciale ottenuto con l’N2, ma in un settore ad altissimo potenziale di mercato.

L'articolo Mentre N2 ipnotizza il mondo e vende 1000 esemplari, entro 5 anni un robot domestico sarà in ogni casa proviene da il blog della sicurezza informatica.

Over on his YouTube channel our hacker [GrandpaAmu] liberates a collapsible chair from a single piece of wood.

With the assistance of an extra pair of hands, but without any power tools in sight, this old master marks up a piece of wood and then cuts a collapsible chair out of it. He uses various types of saw, chisels, a manual drill, and various other hand tools. His workspace is a humble plank with a large clamp attached. At the end he does use a powered hot air gun to heat the finish he uses to coat the final product.

We love videos like this which communicate, record, and capture old know-how. Even in our electrified future with factory-made commodities everywhere, we’re all still gonna appreciate having something portable to sit on. If you’re interested in collapsible furniture you might also be interested in The Ultimate Workstation That Folds Up.

youtube.com/embed/sRjwTCYU4iE?…

hackaday.com/2025/08/15/libera…

Jonathan Gerhardson, a journalist in Western Massachusetts, mapped police-owned cameras in Chicopee using public records requests and some digital sleuthing. He posted an article about his work and his camera map. It is also at his Github. Thanks to Jonathan for contacting us and sharing his work.

We will add his data to Open Street Map and cctv.masspirates.org. If you want to map surveillance cameras in your community, check out our how to guides.

masspirates.org/blog/2025/08/1…

How fast does your heart beat? It’s a tough question to answer, because our heart rate changes all the time depending on what we’re doing and how our body is behaving. However, [Ludwin] noted that resting heart rates often settle somewhere near 60 bpm on average. Thus, they entered a heart rate sensor to our 2025 One Hertz Challenge!

The build is based around a Wemos D1 mini, a ESP8266 development board. It’s hooked up to a MAX30102 heart beat sensor, which uses pulse oximetry to determine heart rate with a photosensor and LEDs. Basically, it’s possible to determine the oxygenation of blood by measuring its absorbance of red and infrared wavelengths, usually done by passing light through a finger. Meanwhile, by measuring the change in absorption of light in the finger as blood flows with the beat of the heat, it’s also possible to measure a person’s pulse rate.

The Wemos D1 takes the reading from the MAX30102, and displays it on a small OLED display. It reports heart rate in both beats per minute and in Hertz. if you can happen to get your heartrate to exactly 60 beats per minute, it will be beating at precisely 1 Hertz. Perhaps, then, it’s the person using Ludwin’s build that is actually eligible for the One Hertz Challenge, since they’re the one doing something once per second?

In any case, it shows just how easy it is to pick up biometric data these days. You only need a capable microcontroller and some off-the-shelf sensors, and you’re up and running.

youtube.com/embed/1OFFsdR9g3k?…

hackaday.com/2025/08/15/2025-o…

Rubber! It starts out as a goopy material harvested from special trees, and is then processed into a resilient, flexible material used for innumerable important purposes. In the vast majority of applications, rubber is prized for its elasticity, which eventually goes away with repeated stress cycles, exposure to heat, and time. When a rubber part starts to show cracks, it’s generally time to replace it.

Researchers at Harvard have now found a way to potentially increase rubber’s ability to withstand cracking. The paper, published in Nature Sustainability, outlines how the material can be treated to provide far greater durability and toughness.

Big Flex

Note the differences between a short-chain crosslinked structure, and the longer-chain tanglemer structure with far less crosslinks. The latter is far better at resisting crack formation, since the longer chain can deconcentrate stress over a longer distance, allowing far greater stretch before failure. Credit: research paper
The traditional method of producing rubber products starts with harvesting the natural rubber latex from various types of rubber tree. The trees are tapped to release their milky sap, which is then dried, processed with additives, and shaped into the desired form before heating with sulfur compounds to vulcanize the material. It’s this last step that is key to producing the finished product we know as rubber, as used in products like tires, erasers, and o-rings. The vulcanization process causes the creation of short crosslinked polymer chains in the rubber, which determine the final properties and behavior of the material.

Harvard researchers modified the traditional rubber production process to be gentler. Typical rubber production includes heavy-handed mixing and extruding steps which tend to “masticate” the polymers in the material, turning them into shorter chains. The new, gentler process better preserves the long polymer chains initially present in the raw rubber. When put through the final stages of processing, these longer chains form into a structure referred to as a “tanglemer”, where the tangles of long polymer chains actually outnumber the sparse number of crosslinks between the chains in the structure.
The gentler production method involves drying the latex and additive mixture at room temperature to form a film, before hot-pressing it to form the final tanglemer structure. This process isn’t practical for producing large, thick parts. Credit: research paper
This tanglemer structure is much better at resisting crack formation. “At a crack tip in the tanglemer, stress deconcentrates over a long polymer strand between neighbouring crosslinks,” notes the research paper. “The entanglements function as slip links and do not impede stress deconcentration, thus decoupling modulus and fatigue threshold.” Plus, these long, tangled polymer chains are just generally better at spreading out stress in the material than the shorter crosslinked chains found in traditional vulcanized rubber. With the stress more evenly distributed, the rubber is less likely to crack or fail in any given location. The material is thus far tougher, more durable, and more flexible. These properties hold up even over repeated loading cycles.

youtube.com/embed/UvGIVUFnsjg?…

Overall, the researchers found the material to be four times better at resisting crack growth during repeated stretch cycles. It also proved to be ten times tougher than traditional rubber. However, the new gentler processing method is fussy, and cannot outperform traditional rubber processing in all regards. After all, there’s a reason things are done the way they are in industry. Most notably, it relies on a lot of water evaporation, and it’s not currently viable for thick-wall parts like tires, for example. For thinner rubber parts, though, the mechanical advantages are all there—and this method could prove useful.

Ultimately, don’t expect to see new this ultra-rubber revolutionizing the tire market or glove manufacturing overnight. However, the research highlights an important fact—rubber can be made with significantly improved properties if the longer polymer chains can be preserved during processing, and tangled instead of excessively cross-linked. There may be more fruitful ground to explore to find other ways in which we can improve rubber by giving it a better, more resilient structure.

hackaday.com/2025/08/15/gentle…

Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilota, non è più considerato una svolta: l’agenzia è passata alla fase successiva di sviluppo, con l’obiettivo di creare sistemi in grado di controllare un gruppo di jet da combattimento in missioni congiunte oltre il raggio visivo.

Il nuovo programma della DARPA, Artificial Intelligence Reinforcements (AIR), si basa sul progetto Air Combat Evolution (ACE) , che ha messo a confronto F-16 dotati di intelligenza artificiale con velivoli con equipaggio in un addestramento “dogfight”. L’obiettivo è aumentare l’autonomia fino al punto in cui tali velivoli possano operare in formazione, coordinandosi su lunghe distanze e in ambienti di combattimento complessi. Il programma fa parte di una più ampia militarizzazione dell’intelligenza artificiale che sta sollevando preoccupazioni sulla sua sicurezza.

Sebbene AIR sia stato avviato più tardi di ACE, il concetto in sé non è nuovo: la prima domanda per il programma è stata pubblicata nel 2022. Questa settimana, la DARPA ha assegnato silenziosamente a Systems & Technology Research (STR) un contratto da 11,3 milioni di dollari nell’ambito della cosiddetta “Opzione Uno“. Come ha spiegato l’agenzia, questa è già la seconda delle due fasi previste del programma, il che indica che il progetto sta procedendo.

All’inizio di AIR, il programma coinvolgeva sei appaltatori, ma nella seconda fase il numero è stato ridotto a quattro. STR è responsabile di una delle due aree tecniche chiave: lo sviluppo di algoritmi che consentiranno l’esecuzione distribuita e autonoma di missioni tattiche in tempo reale in ambienti incerti, in rapida evoluzione e complessi. La seconda area prevede la creazione di modelli rapidi e accurati in grado di tenere conto dell’incertezza e di migliorare automaticamente con l’accumulo di dati.

Secondo la documentazione iniziale, l’AIR dovrebbe utilizzare sistemi di sensori, sistemi di guerra elettronica e armi esistenti. Le fasi di test includeranno simulazioni, quindi test con un essere umano nel circuito di controllo e infine test su un vero velivolo da combattimento senza pilota. Sviluppi simili sono già stati dimostrati: l’esercito statunitense ha creato un sistema robotico in grado di abbattere autonomamente i droni.

Oltre a STR, al progetto hanno partecipato anche Lockheed Martin e BAE Systems , ma la DARPA non ha ancora reso noto chi sarà incluso esattamente nella seconda fase: la selezione dei partecipanti è ancora in corso. I dettagli del lavoro nella prima e nella seconda fase rimangono riservati, ma è noto che la prossima fase durerà circa 30 mesi e coprirà la parte restante del programma.

La questione di quando i piloti saranno effettivamente costretti a cedere il passo all’intelligenza artificiale rimane aperta. E mentre gli sviluppatori stanno testando l’autonomia tattica, i critici non escludono scenari più inaspettati, fino al punto che un giorno un jet da combattimento autonomo decida di abbandonare una missione di combattimento. Gli esperti avvertono che la diffusione dell’IA militare potrebbe rendere il mondo meno sicuro , poiché l’IA commette errori e le conseguenze possono essere fatali . La comunità internazionale sta cercando di sviluppare un patto globale contro l’IA militare .

L'articolo Droni in missione potranno decidere in modo autonomo quali uomini uccidere? proviene da il blog della sicurezza informatica.

This week, Hackaday’s Elliot Williams and Kristina Panos met up over the tubes to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.

In Hackaday news, get your Supercon 2025 tickets while they’re hot! Also, the One Hertz Challenge ticks on, but time is running out. You have until Tuesday, August 19th to show us what you’ve got, so head over to Hackaday.IO and get started now. Finally, its the end of eternal September as AOL discontinues dial-up service after all these years.

On What’s That Sound, Kristina got sort of close, but this is neither horseshoes nor hand grenades. Can you get it? If so, you could win a limited edition Hackaday Podcast t-shirt!

After that, it’s on to the hacks and such, beginning with a talking robot that uses typewriter tech to move its mouth. We take a look at hacking printed circuit boards to create casing and instrument panels for a PDP-1 replica. Then we explore a fluid simulation business card, witness a caliper shootout, and marvel at one file in six formats. Finally, it’s a telephone twofer as we discuss the non-hack-ability of the average smart phone, and learn about what was arguably the first podcast.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Download in DRM-free MP3 and savor at your leisure.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 333 Show Notes:

News:

• Get Your Tickets For Supercon 2025 Now!
• Announcing The 2025 Hackaday One Hertz Challenge
• End Of The Eternal September, As AOL Discontinues Dial-Up

What’s that Sound?

• Think you know what the sound is? Fill out the form for your shot at a shirt.

Interesting Hacks of the Week:

• Josef Prusa Warns Open Hardware 3D Printing Is Dead
  
  • Continuous-Path 3D Printed Case Is Clearly Superior
  • FullControl – Unconstrained Design
  • The Trials Of Trying To Build An Automatic Filament Changer

  
  

• Talking Robot Uses Typewriter Tech For Mouth
• Hacking Printed Circuit Board To Create Casing And Instrument Panels
• That’s No Moon, Er, Selectric
• The WHY 2025 Badge And Its 18650s
• LEDs That Flow: A Fluid Simulation Business Card

Quick Hacks:

• Elliot’s Picks:
  
  • Calipers: Do You Get What You Pay For?
  • Building A Trash Can Reverb
  • Coping With Disappearing Capacitance In A Buck Converter
  • One File, Six Formats: Just Change The Extension

  
  

• Kristina’s Picks:
  
  • 2025 One Hertz Challenge: Abstract Aircraft Sculpture Based On Lighting Regulations
  • Don’t Say This DIY Diskette Was A Flop
  • Digital Etch-A-Sketch Also Plays Snake

  
  

Can’t-Miss Articles:

• Smartphone Hackability, Or, A Pocket Computer That Isn’t
  
  • Ask Hackaday: Why Aren’t We Hacking Cellphones?

  
  

• The World’s First Podcaster?

hackaday.com/2025/08/15/hackad…

Despite the regularly proclaimed death of physical media, new audio albums are still being published on CD and vinyl. There’s something particularly interesting about Lorde’s new album Virgin however — the CD is a completely clear disc. Unfortunately there have been many reports of folks struggling to get the unique disc to actually play, and some sharp-eyed commentators have noted that the CD doesn’t claim to be Red Book compliant by the absence of the Compact CD logo.
The clear Lorde audio CD in all its clear glory. (Credit: Adrian’s Digital Basement, YouTube)
To see what CD players see, [Adrian] of Adrian’s Digital Basement got out some tools and multiple CD players to dig into the issue. These players range from a 2003 Samsung, a 1987 NEC, and a cheap portable Coby player. But as all audio CDs are supposed to adhere to the Red Book standard, a 2025 CD should play just as happily on a 1980s CD player as vice versa.

The first step in testing was to identify the laser pickup (RF) signal test point on the PCB of each respective player. With this hooked up to a capable oscilloscope, you can begin to see the eye pattern forming. In addition to being useful with tuning the CD player, it’s also an indication of the signal quality that the rest of the CD player has to work with. Incidentally, this is also a factor when it comes to CD-R compatibility.

While the NEC player was happy with regular and CD-R discs, its laser pickup failed to get any solid signal off the clear Lorde disc. With the much newer Samsung player (see top image), the clear CD does play, but as the oscilloscope shot shows, it only barely gets a usable signal from the pickup. Likewise, the very generic Coby player also plays the audio CD, which indicates that any somewhat modern CD player with its generally much stronger laser and automatic gain control ought to be able to play it.

That said, it seems that very little of the laser’s light actually makes it back to the pickup’s sensor, which means that the gain gets probably cranked up to 11, and with that its remaining lifespan will be significantly shortened. Ergo it’s probably best to just burn that CD-R copy of the album and listen to that instead.

youtube.com/embed/s3IvVUh3mt4?…

hackaday.com/2025/08/15/why-lo…

CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l’anno dell’avversario intraprendente“: gli aggressori si comportano come aziende mature, introducendo innovazioni, costruendo catene di approvvigionamento resilienti e utilizzando attivamente l’intelligenza artificiale .

L’indicatore principale – il tempo di breakout, ovvero il periodo che intercorre tra la penetrazione iniziale e l’inizio del movimento laterale attraverso la rete – è stato ridotto al minimo storico: una media di 48 minuti contro i 62 minuti dell’anno precedente. Il record assoluto è di 51 secondi, il che di fatto priva i difensori del tempo necessario per reagire.

Nel 79% dei casi rilevati, gli aggressori non hanno utilizzato file dannosi, ma hanno agito tramite strumenti di amministrazione legittimi e operazioni manuali (hands-on-keyboard). Questo approccio consente loro di camuffarsi come una normale attività utente e di aggirare l’EDR . Gli strumenti di gestione remota (RMM) sono particolarmente utilizzati, tra cui Microsoft Quick Assist e TeamViewer.

Gli attacchi di vishing sono esplosi nell’ultimo anno, con un aumento del 442% nella seconda metà del 2024 rispetto alla prima. I gruppi CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno utilizzato attivamente le telefonate come vettore principale, spesso in combinazione con lo “spam bombing“, ovvero l’invio massivo di reclami che fungono da pretesto per una chiamata “dall’assistenza”. In alcuni casi, questi schemi si sono conclusi con l’installazione di backdoor e il lancio del ransomware Black Basta .

Si sta diffondendo anche l’ingegneria sociale nell’help desk, in cui gli aggressori si spacciano per dipendenti aziendali e convincono gli operatori a reimpostare le password o a disattivare l’autenticazione a più fattori. Questa tattica è utilizzata, tra gli altri, da SCATTERED SPIDER ed è diventata uno dei metodi chiave per compromettere account cloud e applicazioni SaaS.

Il 2024 ha segnato una svolta nell’uso dell’IA Gen da parte di criminali informatici e attori statali. I modelli LLM sono stati utilizzati per:

• creazione di profili e immagini falsi (ad esempio, il famoso CHOLLIMA nordcoreano);
• generare e-mail e siti Web di phishing che hanno mostrato un CTR superiore del 54% rispetto ai messaggi scritti da esseri umani;
• deepfake negli schemi BEC: in un caso, sono stati rubati 25,6 milioni di dollari tramite questi metodi;
• scrivere script e strumenti dannosi;
• creazione di siti “deco” nelle campagne NITRO SPIDER.

È emerso anche un nuovo fenomeno: LLMJacking : il furto dell’accesso ai servizi di intelligenza artificiale aziendali nel cloud per rivenderli o utilizzarli in altri attacchi.

Il numero di attacchi con tracce cinesi è aumentato in media del 150% e del 200-300% nei settori finanziario, mediatico, manifatturiero e ingegneristico. Sono stati identificati nuovi gruppi specializzati: LIMINAL PANDA, LOCKSMITH PANDA, OPERATOR PANDA, VAULT PANDA ed ENVOY PANDA, ognuno con la propria specializzazione di nicchia, dalle telecomunicazioni e dalla finanza alle agenzie diplomatiche. Gli operatori cinesi utilizzano attivamente reti ORB composte da centinaia e migliaia di dispositivi hackerati per nascondere il traffico e utilizzano congiuntamente strumenti precedentemente unici, come il malware KEYPLUG.

Il famoso gruppo CHOLLIMA ha implementato campagne su larga scala utilizzando falsi dipendenti IT che ottengono lavoro presso aziende straniere, ricevono dispositivi aziendali e li consegnano a “laboratori di laptop” per installare backdoor. CrowdStrike ha registrato 304 incidenti che li hanno coinvolti, il 40% dei quali riguardava minacce interne.

Gli attacchi al cloud sono aumentati del 26%. Il 35% di questi è iniziato con la compromissione di account attivi, mentre gli aggressori preferiscono non modificare le password per non destare allarme. Vengono utilizzati sia il furto di credenziali tramite infostealer (Stealc, Vidar) sia l’abuso di connessioni attendibili tra aziende.

Una parte significativa degli attacchi si basa sull’utilizzo concatenato di exploit e sull’abuso di funzioni software legittime. Ad esempio, OPERATOR PANDA ha utilizzato una serie di vulnerabilità in Cisco IOS per attaccare società di telecomunicazioni e di consulenza negli Stati Uniti.

CrowdStrike prevede che la velocità degli attacchi e l’uso diffuso dell’intelligenza artificiale continueranno ad aumentare, soprattutto negli ambienti di social engineering e cloud. Per proteggersi da queste minacce, gli esperti raccomandano di dare priorità alla protezione dell’identità, implementare una pianificazione proattiva delle patch, rafforzare i controlli degli account cloud e utilizzare strumenti di threat hunting basati sull’intelligenza artificiale.

L'articolo CrowdStrike Global Threat Report 2025: l’anno dell’avversario intraprendente proviene da il blog della sicurezza informatica.

Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati all’interno di una lavatrice. Tutto ciò è apparso estremamente sorprendente.

Un futuro in cui gli esseri umani saranno liberi da questo onere tedioso è mostrato in un nuovo video da Figure, dove si vede lo stesso robot che sistema asciugamani freschi di bucato, per poi metterli da parte piegati.

Today we unveiled the first humanoid robot that can fold laundry autonomously

Same exact Helix architecture, only new data pic.twitter.com/0iEToKfETD
— Figure (@Figure_robot) August 12, 2025

Grazie a un nuovo set di dati specifico per la piegatura della biancheria, Figura02 adotta lo stesso modello Helix Vision Language Action (VLA) già impiegato dall’azienda nelle operazioni di logistica industriale, con l’obiettivo di guidare il processo in modo efficiente.

L’azienda tecnologica con sede in California ha dichiarato di aver realizzato il primo robot umanoide in grado di piegare il bucato “in modo completamente autonomo”, un’affermazione che sicuramente farà sì che milioni di persone in tutto il mondo si chiedano all’istante: “Allora, dove posso trovarne uno?”.

Il robot svolge l’operazione di pulizia in piena autonomia, senza necessità di interventi manuali o direttive specialistiche, grazie all’implementazione di una rete neurale a estremità connesse.

Come potete vedere, il robot usa mani multi-dita per raccogliere con competenza gli asciugamani da una pila. Esegue anche diverse strategie di piegatura, recupera errori come afferrare più asciugamani contemporaneamente ed esegue manipolazioni di precisione, proprio come un essere umano.

Il video dimostra progressi concreti in uno dei settori che gli ingegneri robotici trovano ancora estremamente impegnativi: la manipolazione di oggetti, soprattutto quelli morbidi e flessibili. In effetti, l’impressionante capacità del robot di maneggiare l’umile asciugamano sembra un passo avanti entusiasmante verso la capacità di tali macchine di gestire altri oggetti non rigidi, aprendole a una pletora di altri compiti in una gamma più ampia di contesti.

Nonostante le attenzioni di Figure siano ad oggi focalizzate sull’utilizzo del suo robot dalle sembianze umane all’interno di contesti lavorativi, prossimamente esso verrà collaudato anche nelle abitazioni private, aspetto che risulterà gradito a tutte le persone che non amano le attività di lavanderia.

“Piegare il bucato può sembrare banale per una persona, ma è uno dei compiti di manipolazione più impegnativi per un robot umanoide”, ha affermato Figure in un post sul suo sito web. “Gli asciugamani sono deformabili, cambiano forma in continuazione, si piegano in modo imprevedibile e tendono a stropicciarsi o aggrovigliarsi. Non esiste una geometria fissa da memorizzare, né un singolo punto di presa ‘corretto’. Anche un leggero scivolamento di un dito può far arricciare o cadere il tessuto. Il successo richiede più che una semplice visione accurata del mondo: richiede un controllo preciso e coordinato delle dita per tracciare bordi, pizzicare angoli, levigare superfici e adattarsi in tempo reale”.

Figure non ha ancora fornito dettagli sui prezzi e sugli acquisti per i singoli clienti, quindi, almeno per il momento, il bucato lo dobbiamo continuare a fare noi.

L'articolo Dopo il bucato, Figure 02 ora piega il bucato. Ma per ora dovrai continuare a farlo da solo proviene da il blog della sicurezza informatica.