A Tefifon cartridge installed for playback. (Credit: Our Own Devices, YouTube)
Recently the [Our Own Devices] YouTube channel took a gander at the Tefifon audio format. This was an audio format that competed with shellac and vinyl records from the 1930s to the 1960s, when the company behind it went under. Some people may already know Tefifon as [Matt] from Techmoan has covered it multiple times, starting with a similar machine about ten years ago, all the way up to the Stereo Tefifon machine, which was the last gasp for the format.

There’s a lot to be said for the Tefifon concept, as it fixes many of the issues of shellac and vinyl records, including the limited run length and having the fragile grooves exposed to damage and dust. By having the grooves instead on a flexible band that got spooled inside a cartridge, they were protected, with up to four hours of music or eight hours of spoken content, i.e. audio books.

Although the plastic material used for Tefifon bands suffered from many of the same issues as the similar Dictabelt audio recording system, such as relatively rapid wear and degradation (stiffening) of the plastic, it was mostly the lack of interest from the audio labels that killed the format. With the big labels and thus big artists heavily invested in records, the Tefifon never really got any hits and saw little use outside of West Germany throughout the 1950s and 1960s before its last factories were shuttered.

youtube.com/embed/8Uoes4JXZeI?…

youtube.com/embed/nBNTAmLRmUg?…

hackaday.com/2025/08/28/tefifo…

Linear actuators are a great help when you’re moving something along a single axis, but with so many options, how do you decide? [Jeremy Fielding] walks us through some of the high level tradeoffs of using one type of actuator over another.

There are three main types of linear actuator available to the maker: hydraulic, pneumatic, and electric. Both the hydraulic and pneumatic types move a cylinder with an attached rod through a tube using pressure applied to either side of the cylinder. [Fielding] explains how the pushing force will be greater than the pulling force on these actuators since the rod reduces the available surface area on the cylinder when pulling the rod back into the actuator.

Electric actuators typically use an electric motor to drive a screw that moves the rod in and out. Unsurprisingly, the electric actuator is quieter and more precise than its fluid-driven counterparts. Pneumatic wins out when you want something fast and without a mess if a leak happens. Hydraulics can be driven to higher pressures and are typically best when power is the primary concern which is why we see them in construction equipment.

You can DIY your own linear actuators, we’ve seen tubular stepper motors, and even a linear actuator inspired by muscles.

youtube.com/embed/YzgFyO_W2nM?…

hackaday.com/2025/08/28/linear…

A couple of years ago, a judge in Arizona issued a restraining order against journalist Camryn Sanchez at the behest of a state senator, Wendy Rogers. The ordeal was alarming, but press freedom advocates were able to breathe a sigh of relief when the order was struck down by another judge a few weeks later. That Rogers is, well, out of her mind, made it easier to hope that the whole thing was an isolated incident.

Unfortunately, that doesn’t appear to be the case. A Maryland journalist, Will Fries, was recently served with a “peace order” that would’ve barred him from city hall in Salisbury. The order, requested by the city’s communications director (allegedly in coordination with higher-ups), followed Fries’ reporting on the city’s purported policy requiring media inquiries to be routed through its communications office — which officials cited to restrict Fries from asking questions during a committee meeting.

Fortunately, a judge ultimately declined to issue the order. But after the Arizona restraining order and plenty of other instances of local officials claiming bizarre grounds to punish routine newsgathering, it would be a mistake to dismiss Fries’ case as a one-off.

We talked to Fries about the experience via email. Our conversation is below.

Tell us briefly about your background and the kind of reporting you do for The Watershed Observer.

For over a decade, I’ve worked to counter disinformation and malign influence across communities. I’ve done investigative work for nonprofits and tech companies, served on major presidential campaigns, and overseen digital strategy for former Portland (Oregon) Mayor Ted Wheeler (where things got interesting). Most recently, I launched The Watershed Observer to provide communities with faithful reporting at the intersection of local and global issues.

We want to talk about the “peace order,” or restraining order, that a government employee sought against you in Salisbury, but it looks like there’s a bit of press freedom “Inception” going on — that ordeal arose from your reporting on another press freedom issue. What happened on August 6 in Salisbury, Maryland?

Salisbury’s Mayor’s Office claimed the Human Rights Advisory Committee advised him to remove a rainbow crosswalk. In reality, the committee had voted against that and gone on public record disputing the mayor’s communications. I received reports, tips, and outreach, and I reviewed the committee’s approved May meeting minutes.

As a courtesy, I let the committee know ahead of time that I planned to take part in the open, public forum section of their August 6 meeting. After being recognized, when I raised questions about the mayor’s false statement, the mayor’s liaison blocked both me and the committee from discussion, falsely claiming a city policy barred journalists from participating. No such policy exists. Later, the mayor’s comms director sent an email exclusively targeting the Human Rights Committee and their ability to speak with the press and public about their public work, the same group that had raised concerns about the mayor’s misinformation.

The kind of policy that the mayoral staffer cited, that city employees are required to route all media inquiries to a communications office, has been referred to as “censorship by PIO,” or public information officer, because of how it limits the information obtainable by journalists. They’ve repeatedly been held unconstitutional. Putting aside that the commission members weren’t actually city employees subject to the policy — and that even if a city policy could restrict employees from answering certain questions, it certainly can’t block reporters from asking them — how have you observed these policies impacting the press?

The city’s actions had a tangible chilling effect. After the comms director’s email, some committee members hesitated to go on record, while others only spoke confidentially. In practice, this limited the committee’s ability to speak publicly about human rights issues or potential concerns regarding the mayor and his staff.

“If someone is a nongovernment actor who produces media to be consumed by the public, they are press. The idea of official versus unofficial press is a ridiculous invention.”

Will Fries

I say actions, not policy, because there is no legitimate city policy banning journalists from participating in public meetings, and such a rule would serve no legitimate purpose. The false claim and creation of policy was fabricated in the moment to intimidate and coerce members of the public body, and me, in order to suppress participation in further discussing the mayor’s office’s gross misrepresentation of the committee’s public work. Its only purpose was to block accountability and prevent scrutiny.

I noticed in some correspondence, the comms director seems to refer to you as someone who claims to be a member of the media, and distinguishes between what she sees as official and unofficial press. As an independent journalist, how do you think city officials should determine who is or isn’t really the press? Or should they at all?

If someone is a nongovernment actor who produces media to be consumed by the public, they are press. The idea of “official” versus “unofficial” press is a ridiculous invention, completely at odds with constitutional protections and civic norms. The city of Salisbury has no legitimate policy distinguishing “real” from “not real” press, nor could it. That notion exists only to imply the city can ignore questions or accountability from anyone they don’t consider “official press.” They can’t. In Maryland, our Declaration of Rights explicitly extends the freedom of the press to “every citizen,” and many states have similar protections.

Talk about the follow-up reporting you did, or tried to do, after the August 6 meeting.

After the August 6 meeting, I did what any responsible journalist would do: I followed up. I gave the city employee a chance to clarify. I reached out to the mayor’s comms director for confirmation and comment. I also shared my reporting with the committee, inviting them to add their perspectives. Instead of engaging, the comms director issued an email exclusively to the Human Rights Advisory Committee, discouraging members from speaking to the press or the public. They spread falsehoods about me and my reporting in retaliation, rather than investigate the reality themselves or address the underlying facts of the mayor’s misinformation about the Human Rights Committee and mayor’s staff improperly interfering at the August 6 meeting. I also filed public records requests to learn more about the city’s processes and policies.

Then you got the peace order from the mayor’s comms director. Which allegations in the peace order application do you contend were factually false, and did the city ever present any evidence that those allegations were, in fact, true?

The comms director falsely claimed I was behind a nonthreatening and fact-forward whistleblower email that raised serious ethical concerns about her conduct, and petitioned that this, combined with my public records requests, somehow were grounds for a peace order. Those allegations were unfounded, baseless, and unsupported by any evidence. The petition functioned solely as retaliation against protected activities and now fits into an observable pattern of the city disregarding realities.

I’ve had a long investigatory career, and I am aware of other instances where peace orders have been misused as tools to discredit reporters and witnesses, or to intimidate people participating in serious investigations. At the same time, it’s important for everyone to recognize that lawful peace orders serve an important and serious purpose: They protect individuals from genuine threats and ensure safety in difficult circumstances. I believe that misuse and abuse of peace orders is rare.

So stripping away the allegations you dispute, what’s left is essentially that you sought comment for stories from the comms director, filed public records requests, and voiced your displeasure with how officials had characterized your reporting. That all sounds like routine journalistic conduct (especially when city policy doesn’t allow you to talk to anyone else besides the comms director) and a pretty open-and-shut case. Was it easy to get this thrown out?

Once all false statements and disprovable allegations are removed, what remains is professional conduct and routine journalism: seeking comment, filing records requests, and following up on city actions, activities documented by journalists every day. It’s concerning that it went as far as a court proceeding, but the judge ultimately ruled there was no basis for the petition.

Do you think higher-ups at the city had anything to do with the effort to obtain a peace order against you, which, incidentally, would have restricted you from entering city headquarters?

During sworn testimony, the mayor’s comms director acknowledged she pursued the peace order with encouragement and guidance from the city solicitor’s office and the Police Department. If that testimony were false, it would amount to perjury. In addition, I have received reports from trusted sources that an elected official may have personally participated. All of this indicates the effort wasn’t an isolated action by one employee, but part of a broader institutional attempt to retaliate against a reporter and restrict reporting access.

The U.S. Press Freedom Tracker, a project of Freedom of the Press Foundation (FPF), only has one case documented in which a judge knowingly entered a restraining order against a journalist (the Tracker is not documenting your case because the court declined to issue the order). That case involved a state senator in Arizona who objected to a reporter knocking on her door, and the order was later overturned. But there have been plenty of cases involving reporters being arrested, ticketed, investigated, sued, raided, or criminally charged over routine journalism. How do you think what happened to you fits into this broader national trend of local authorities retaliating against the press for doing its job?

We are seeing instances in which some people with public responsibilities respond to journalists with resistance or retaliation rather than openness. These actions rarely arise from legitimate concern and more often reflect institutional reluctance to confront reality or uphold accountability. In some cases, public officials entrusted with serving their communities treat engagement and transparency as risks rather than obligations. The healthiest communities are built on leaders who stay open, accountable, and ready to face tough questions from the public and the press.

Everyone has a responsibility to support press freedom, including journalists, city employees, and members of the public. Sometimes that responsibility is as simple as subscribing to a news outlet. Other times, it involves asking hard questions and sharing difficult truths with the public. And in some cases, it requires taking personal risks, including facing arrest or accusations, to advance public interests.

In this climate, we all have a responsibility to ask ourselves the hard questions about what we each can do to strengthen a free and transparent society.

freedom.press/issues/journalis…

Dear Friend of Press Freedom,

For 157 days, Rümeysa Öztürk has faced deportation by the United States government for writing an op-ed it didn’t like, and for 76 days, Mario Guevara has been imprisoned for covering a protest. Read on for more, and click here to subscribe to our other newsletters.

Government excuses for Öztürk secrecy are insulting

A recent court filing suggests the U.S. government is abusing the Freedom of Information Act to hide potentially damning evidence about its March arrest of Öztürk over her co-authorship of an op-ed criticizing Israel.

The government told Freedom of the Press Foundation (FPF), in response to a lawsuit we’ve filed for Öztürk’s records, that releasing them would be an invasion of privacy, although it’s not clear whose. Read more here. And to learn more about our FOIA work, subscribe to our secrecy newsletter, The Classifieds.

• SUBSCRIBE

Stop congressional secrecy bill

A new legislative proposal – almost identical to one we opposed in 2023 – would allow members and even former members of Congress to compel the censorship of a broad range of information that journalists and others are constitutionally entitled to publish.

It would impede journalists’ and watchdogs’ efforts to, for example, check property, vehicle or travel records to investigate bribery allegations, monitor lawmakers leaving their districts during emergencies, scrutinize potential financial conflicts impacting policy positions, and a myriad of other newsworthy matters. We collaborated with our friends at Defending Rights & Dissent on a petition to lawmakers to stop this censorial proposal. Contact your senator here.

Police: Don’t impersonate journalists

We told you last week that police in Eugene, Oregon, said they’d stop putting their videographers in “PRESS” vests. Great.

But the practice was disturbing enough that we thought police in Eugene and elsewhere needed to understand the dangers of government employees posing as journalists — from providing propagandists with greater access than real journalists to exposing journalists and police officers alike to the risk of assault.

We led a letter from press and liberties groups to Eugene’s police chief, copying national associations of police communications personnel.Read it here.

Another journalist restraining order

A couple years ago, a judge in Arizona issued a restraining order against journalist Camryn Sanchez at the behest of a state senator, Wendy Rogers. That ordeal was alarming, but press freedom advocates were able to breathe a sigh of relief when the order was struck down by another judge a few weeks later. That Rogers is, well, out of her mind, made it easier to hope that the whole thing was an isolated incident.

Unfortunately, that doesn’t appear to be the case. Maryland journalist Will Fries was recently served with a “peace order” that would’ve barred him from city hall in Salisbury. Fortunately, a judge ultimately declined to issue the order, but after the Arizona restraining order and plenty of other instances of local officials claiming bizarre grounds to punish routine newsgathering, it would be a mistake to dismiss Fries’ case as a one-off.

We talked to Fries about the experience via email. Read the conversation here.

What we’re reading

Israel’s killing of six Gaza journalists draws global condemnation (Al Jazeera). We told Al Jazeera that “Any story that quotes an Israeli official or references Israeli allegations should say that Israel does not allow the international press to verify its claims and kills the local journalists who try.”

Homeland Security tells watchdog it hasn’t kept text message data since April (The New York Times). We told the Times that “Agencies cannot get away from responding to FOIA requests by intentionally degrading their capabilities … This is like a fire department saying, ‘We don’t have a hose, so we’re not going to put out the fires anymore.’”

Accepted at universities, unable to get visas: inside Trump’s war on international students (The Intercept). “An intrepid reporter who wants to use his time in America to become an even more effective watchdog against government corruption is an undesirable in the eyes of a corrupt government like ours,” we told The Intercept about journalist Kaushik Raj’s student visa denial.

News groups ask judge to increase protections for journalists covering LA protests (Courthouse News). The federal government apparently believes that assaulting journalists covering protests is legal because “videotaping can lead to violence.” The First Amendment says otherwise.

The student newspaper suing Marco Rubio over targeted deportations (The Intercept). “It does not matter if you’re a citizen, here on a green card, or visiting Las Vegas for the weekend — you shouldn’t have to fear retaliation because the government doesn’t like what you have to say,” Conor Fitzpatrick of the Foundation for Individual Rights and Expression told The Intercept.

Lack of local news tied to government secrecy, new report says (Medill Local News Initiative). A new study by the Brechner Center for the Advancement of the First Amendment shows that states with more newspapers are more likely to respond to records requests, and states with fewer papers are more likely to ignore them.

Public broadcast cuts hit rural areas, revealing a political shift (The New York Times). Rural stations in Alaska and elsewhere may no longer have the bandwidth to send emergency alerts. That could be the difference between life and death.

Opinion: D.C. must invest in local news (The 51st). Funding local news by directing public grants through consumer coupons is a creative way to address the local news crisis. Local governments must act to keep community news from dying.

freedom.press/issues/governmen…

If you haven’t been following [Will Cogley]’s animatronic adventures on YouTube, you’re missing out. He’s got a good thing going, and the latest step is an adorable robot that tracks you with its own eyes.

Yes, the cameras are embedded inside the animatronic eyes.That was a lot easier than expected; rather than the redesign he was afraid of [Will] was able to route the camera cable through his existing animatronic mechanism, and only needed to hollow out the eyeball. The tiny camera’s aperture sits nigh-undetectable within the pupil.

On the software side, face tracking is provided by MediaPipe. It’s currently running on a laptop, but the plan is to embed a Raspberry Pi inside the robot at a later date. MediaPipe tracks any visible face and calculates the X and Y offset to direct the servos. With a dead zone at the center of the image and a little smoothing, the eye motion becomes uncannily natural. [Will] doesn’t say how he’s got it set up to handle more than one face; likely it will just stick with the first object identified.

Eyes aren’t much by themselves, so [Will] goes further by creating a little robot. The adorable head sits on a 3D-printed tapered roller bearing atop a very simple body. Another printed mechanism allows for pivot, and both axes are servo-controlled, bringing the total number of motors up to six. Tracking prefers eye motion, and the head pivots to follow to try and create a naturalistic motion. Judge for yourself how well it works in the video below. (Jump to 7:15 for the finished product.)

We’ve featured [Will]’s animatronic anatomy adventures before– everything from beating hearts, and full-motion bionic hands, to an earlier, camera-less iteration of the eyes in this project.

Don’t forget if you ever find yourself wading into the Uncanny Valley that you can tip us off to make sure everyone can share in the discomfort.

youtube.com/embed/IPBu5Q2aogE?…

hackaday.com/2025/08/28/animat…

I ricercatori della Reichman University (Israele) hanno descritto in dettaglio in un articolo sulla rivista Nature Electronics i crescenti rischi e minacce derivanti da fattori naturali e artificiali sui cavi di comunicazione sottomarini, che costituiscono la spina dorsale dell’infrastruttura Internet globale e trasmettono oltre il 95% del traffico dati internazionale.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
Tra gli esempi da loro citati figurano un’eruzione vulcanica nel 2022 che ha causato uno tsunami e onde d’urto sottomarine che hanno interrotto il collegamento in fibra ottica tra il Regno di Tonga e la Repubblica delle Figi, facendo sprofondare la nazione insulare nell’isolamento digitale.

Nell’ultimo anno e mezzo, diversi nuovi incidenti hanno messo in luce la vulnerabilità delle infrastrutture via cavo. Linee sottomarine principali nel Mar Rosso, nel Mar Baltico e nell’Oceano Pacifico sono state danneggiate, in alcuni casi probabilmente intenzionalmente.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
I danni ai cavi principali causati da ancore o reti a strascico d’altura provocano frequenti interruzioni e la crescente tendenza a danneggiare in modo mirato aumenta il rischio di arresti intenzionali con gravi conseguenze. L’articolo presenta indicazioni scientificamente fondate per la modernizzazione dell’infrastruttura di comunicazione globale, basate su tre sistemi alternativi in grado di ridurre la dipendenza dalla vulnerabilità dei cavi sottomarini.

La prima opzione è rappresentata dalle reti satellitari per le comunicazioni laser. Costellazioni satellitari in orbita terrestre bassa sono già state create nell’ambito di progetti NASA e del sistema Starlink. Possono fornire velocità di trasferimento dati paragonabili alla fibra ottica, senza rischi sismici o geopolitici. I progressi nell’ottica adattiva e nei canali di comunicazione intersatellitare ad alta velocità consentono di contrastare efficacemente gli effetti delle interferenze atmosferiche.

La seconda soluzione è rappresentata dalle piattaforme aeree ad alta quota basate su droni alimentati a energia solare e dirigibili stratosferici. Gli sviluppi in questo campo non sono ancora completi, ma i prototipi hanno dimostrato che tali piattaforme possono fornire un’infrastruttura internet flessibile e resiliente.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Un terzo approccio prevede la creazione di reti wireless ottiche sottomarine autonome basate su più veicoli robotici dotati di laser blu-verdi che formano una rete dinamica di canali di comunicazione ottica a corto raggio. Tali sistemi possono fornire ridondanza critica per i cavi operativi. Sono particolarmente promettenti per applicazioni militari, per l’energia in acque profonde e per il monitoraggio ambientale.

Ma la ridondanza dei cavi da sola non è sufficiente a contrastare le minacce del XXI secolo, dai disastri geologici ai conflitti geopolitici. È necessaria una reale diversificazione dell’infrastruttura digitale globale, sostengono gli autori dello studio.

L'articolo I cavi di sottomarini sono vulnerabili! Servono nuove strategie proviene da il blog della sicurezza informatica.

There’s a dizzying number of specialist 3D printing materials out there, some of which do try to offer an alternative to PLA, PA6, ABS, etc., while others are happy to stay in their own niche. Polyvinylidene fluoride (PVDF) is one of these materials, with the [My Tech Fun] YouTube channel recently getting sent a spool of PVDF for testing, which retails for a cool $188.
Some of the build plate carnage observed after printing with PVDF. (Credit: My Tech Fun, YouTube)
Reading the specifications and datasheet for the filament over at the manufacturer’s website it’s pretty clear what the selling points are for this material are. For the chemists in the audience the addition of fluoride is probably a dead giveaway, as fluoride bonds in a material tend to be very stable. Hence PVDF ((C₂H₂F₂)_n) sees use in applications where strong resistance to aggressive chemicals as well as hydrolysis are a requirement, not to mention no hygroscopic inclinations, somewhat like PTFE and kin.

In the video’s mechanical testing it was therefore unsurprising that other than abrasion resistance it’s overall worse and more brittle than PA6 (nylon). It was also found that printing this material with two different FDM printers with the required bed temperature of 110°C was somewhat rough, with some warping and a wrecked engineering build plate in the Bambu Lab printer due to what appears to be an interaction with the usual glue stick material. Once you get the print settings dialed in it’s not too complicated, but it’s definitely not a filament for casual use.

youtube.com/embed/tYyk9kOpGOE?…

hackaday.com/2025/08/28/pvdf-t…

A few days ago we brought you word that Google was looking to crack down on “sideloaded” Android applications. That is, software packages installed from outside of the mobile operating system’s official repository. Unsurprisingly, a number of readers were outraged at the proposed changes. Android’s open nature, at least in comparison to other mobile operating systems, is what attracted many users to it in the first place. Seeing the platform slowly move towards its own walled garden approach is concerning, especially as it leaves the fate of popular services such as the F-Droid free and open source software (FOSS) repository in question.

But for those who’ve been keeping and eye out for such things, this latest move by Google to throw their weight around isn’t exactly unexpected. They had the goodwill of the community when they decided to develop an open source browser engine to keep the likes of Microsoft from taking over the Internet and dictating the rules, but now Google has arguably become exactly what they once set out to destroy.

Today they essentially control the Internet, at least as the average person sees it, they control 72% of the mobile phone OS market, and now they want to firm up their already outsized control which apps get installed on your phone. The only question is whether or not we let them get away with it.

Must be This High to Ride

First, “sideloading”. The way you’re supposed to install apps on your Android device is through the Google Play store, and maybe your phone manufacturer’s equivalent. All other sources are, by default, untrusted. What used to be refreshing about the Android ecosystem, at least in comparison, was how easy it was to sideload an application that didn’t come directly from, and profit, Big G. That is what’s changing.

Of course, the apologists will be quick to point out that Google isn’t taking away the ability to sideload applications on Android. At least, not on paper. What they’re actually doing is making it so sideloaded applications need to be from a verified developer. According to their blog post on the subject, they have no interest in the actual content of the apps in question, they just want to confirm a malicious actor didn’t develop it.

The blog post attempts to make a somewhat ill-conceived comparison between verifying developer identities with having your ID checked at the airport. They go on to say that they’re only interested in verifying each “passenger” is who they say they are for security purposes, and won’t be checking their “bags” to make sure there’s nothing troubling within. But in making this analogy Google surely realizes — though perhaps they hope the audience doesn’t pick up on — the fact that the people checking ID at the airport happen to wear the same uniforms as the ones who x-ray your bags and run you through the metal detector. The implication being that they believe checking the contents of each sideloaded package is within their authority, they have simply decided not to exercise that right. For now.

Conceptually, this initiative is not unlike another program Google announced this summer: OSS Rebuild. Citing the growing risk of supply chain attacks, where malicious code sneaks into a system thanks to the relatively lax security of online library repositories, the search giant offers a solution. They propose setting up a system by which they not only verify the authors of these open source libraries, but scan them to make sure the versions being installed match the published source code. In this way, you can tell that not only are you installing the authentic library, but that no rogue code has been added to your specific copy.

Google the Gatekeeper

Much like verifying the developer of sideloaded applications, OSS Rebuild might seem like something that would benefit users at first glance. Indeed, there’s a case to be made that both programs will likely identify some low-hanging digital fruit before it has the chance to cause problems. An event that you can be sure Google will publicize for all it’s worth.

But in both cases, the real concern is that of authority. If Google gets to decide who a verified developer is for Android, then they ultimately have the power to block whatever packages they don’t like. To go back to their own airport security comparison, it would be like if the people doing the ID checks weren’t an independent security force, but instead representatives of a rival airline. Sure they would do their duty most of the time, but could they be trusted to do the right thing when it might be in their financial interests not to? Will Google be able to avoid the temptation to say that the developers of alternative software repositories are persona non grata?

Even more concerning, who do you appeal to if Google has decided they don’t want you in their ecosystem? We’ve seen how they treat YouTube users that have earned their ire for some reason or another. Can developers expect the same treatment should they make some operational faux pas?

Let us further imagine that verification through OSS Rebuild becomes a necessary “Seal of Approval” to be taken seriously in the open source world — at least in the eyes of the bean counters and decision makers. Given Google’s clout, it’s not hard to picture such an eventuality. All Google would have to do to keep a particular service or library down is elect not to include them in the verification process.

Life Finds a Way

If we’ve learned anything about Google over the years, it’s that they can be exceptionally mercurial. They’re quick to drop a project and change course if it seems like it isn’t taking them where they want to go. Even projects that at one time seemed like they were going to be a pivotal part of the company’s future — such as Google+ — can be kicked to the curb unceremoniously if the math doesn’t look right to them. Indeed, the graveyard of failed Google initiatives has far more headstones than the company’s current roster of offerings.

Which is so say, that there’s every possibility that user reaction to this news might be enough to get Google to take a different tack. Verified sideloading isn’t slated to go live until 2027 for most of the world, although some territories will get it earlier, and a lot can happen between now and then.

Even if Google goes through with it, they’ve already offered something of an olive branch. The blog post mentions that they intend to develop a carve out in the system that will allow students and hobbyists to install their own self-developed applications. Depending on what that looks like, this whole debate could be moot, at least for folks like us.

In either event, the path would seem clear. If we want to make sure there’s choice when it comes to Android software, the community needs to make noise about the issue and keep the pressure on. Google’s big, but we’re bigger.

hackaday.com/2025/08/28/the-br…

Un esperto di sicurezza ha scoperto che sei dei gestori di password più diffusi, utilizzati da decine di milioni di persone, sono vulnerabili al clickjacking, un fenomeno che consente agli aggressori di rubare credenziali di accesso, codici di autenticazione a due fattori e dati delle carte di credito.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
Il problema è stato segnalato per la prima volta dal ricercatore indipendente Marek Tóth, che ha presentato un rapporto sulle vulnerabilità alla recente conferenza di hacker DEF CON 33. Le sue scoperte sono state successivamente confermate dagli esperti di Socket, che hanno contribuito a informare i fornitori interessati e a coordinare la divulgazione pubblica delle vulnerabilità.

Ha testato il suo attacco su varianti specifiche di 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce e ha scoperto che tutte le versioni del browser potevano far trapelare dati sensibili in determinati scenari.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Gli aggressori possono sfruttare le vulnerabilità quando le vittime visitano pagine dannose o siti vulnerabili ad attacchi XSS o al cache poisoning. Di conseguenza, gli aggressori sono in grado di sovrapporre elementi HTML invisibili all’interfaccia del gestore delle password. L’utente penserà di interagire con innocui elementi cliccabili sulla pagina, ma in realtà attiverà il riempimento automatico, che “trapelerà” le sue informazioni riservate agli hacker.

L’attacco si basa sull’esecuzione di uno script su un sito web dannoso o compromesso. Questo script utilizza impostazioni di trasparenza, sovrapposizioni o eventi puntatore per nascondere il menu a discesa di compilazione automatica del gestore password del browser. Allo stesso tempo, l’aggressore sovrappone elementi falsi e fastidiosi alla pagina (come banner di cookie, pop-up o CAPTCHA). Tuttavia, i clic su questi elementi conducono a controlli nascosti del gestore delle password, che portano alla compilazione di moduli con informazioni riservate.

Ha dimostrato diversi sottotipi DOM e exploit dello stesso bug: manipolazione diretta dell’opacità dell’elemento DOM, manipolazione dell’opacità dell’elemento radice, manipolazione dell’opacità dell’elemento padre e sovrapposizione parziale o completa.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Il ricercatore ha anche dimostrato l’utilizzo di un metodo in cui l’interfaccia utente segue il cursore del mouse e, di conseguenza, qualsiasi clic dell’utente, ovunque si trovi, attiva il riempimento automatico dei dati. Allo stesso tempo, Toth ha sottolineato che lo script dannoso può rilevare automaticamente il gestore di password attivo nel browser della vittima e quindi adattare l’attacco a un obiettivo specifico in tempo reale.

Di conseguenza, il ricercatore ha testato 11 gestori di password per individuare la vulnerabilità al clickjacking e ha scoperto che tutti erano vulnerabili ad almeno uno dei metodi di attacco. Sebbene Toth avesse informato tutti i produttori dei problemi già nell’aprile 2025 e li avesse anche avvisati che la divulgazione pubblica delle vulnerabilità era prevista per DEF CON 33, non ci fu alcuna risposta immediata. La scorsa settimana, Socket ha contattato nuovamente gli sviluppatori per ribadire la necessità di assegnare CVE ai problemi nei prodotti interessati.

I rappresentanti di 1Password hanno definito il rapporto del ricercatore “informativo”, sostenendo che il clickjacking è una minaccia comune da cui gli utenti dovrebbero essenzialmente proteggersi. Anche gli sviluppatori di LastPass hanno trovato il rapporto “informativo” e Bitwarden ha riconosciuto i problemi e, sebbene l’azienda non li abbia considerati gravi, le correzioni sono state implementate nella versione 2025.8.0, rilasciata la scorsa settimana. I seguenti gestori di password, che complessivamente contano circa 40 milioni di utenti, sono attualmente vulnerabili agli attacchi di clickjacking:

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });

• 1Password 8.11.4.27
• Bitwarden 2025.7.0
• Enpass 6.11.6 (correzione parziale implementata nella versione 6.11.4.2)ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });
• Password iCloud 3.1.25
• LastPass 4.146.3
• LogMeOnce 7.12.4ezstandalone.cmd.push(function () { ezstandalone.showAds(616); });

Le patch sono già state implementate nei loro prodotti: Dashlane (v6.2531.1 rilasciata il 1° agosto), NordPass, ProtonPass, RoboForm e Keeper (17.2.0 rilasciata a luglio). Ora si consiglia agli utenti di assicurarsi di aver installato le versioni più recenti disponibili dei prodotti.

L'articolo I gestori di password più diffusi, tra cui LastPass, 1Password e Bitwarden sono vulnerabili al clickjacking proviene da il blog della sicurezza informatica.

Martyn Ditchburn, CTO in residence Zscaler

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
L’intelligenza artificiale, come qualsiasi tecnologia, non è intrinsecamente buona o cattiva: tutto dipende da chi la utilizza e per quale scopo. Ciò che è certo però, è che l’IA si sta evolvendo più velocemente della sua controparte più prudente, cioé la regolamentazione, dal momento che i legislatori faticano a stare al passo. A complicare la situazione, l’IA sta innovando anche al proprio interno, generando un’accelerazione senza precedenti nello sviluppo tecnologico.

Questo scenario sta aprendo la strada a una nuova serie di sfide per la sicurezza, l’ultima delle quali è rappresentata dal vibe coding. Come per qualsiasi ciclo di innovazione in ambito IA, è fondamentale capire di cosa si tratta e quali sono le implicazioni per la sicurezza.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });

Cos’è il vibe coding

Fondamentalmente, il vibe coding è un approccio moderno allo sviluppo del software. Questo cambiamento si comprende meglio osservando l’evoluzione del ruolo dello sviluppatore. In precedenza, uno sviluppatore avrebbe avuto il compito di scrivere manualmente ogni riga di codice, per poi procedere con le classiche fasi di ispezione, test, correzione e rilascio. Ora, con l’introduzione del vibe coding, uno sviluppatore di software – e anche una persona comune – è in grado di saltare il primo passaggio, affidando all’intelligenza artificiale la scrittura del codice, limitandosi a guidarla, per poi testarlo e perfezionarlo.

Sulla carta, i benefici sono evidenti. Gli sviluppatori possono lavorare in modo più efficiente, l’accesso alla programmazione viene democratizzato, aprendolo anche agli sviluppatori alle prime armi e la creatività e la sperimentazione sono stimolate, con la creazione di nuove applicazioni rivolte ai consumatori, intuitive e facili da usare. Anche il CEO di Google, Sundar Pichai, si è lasciato coinvolgere, affermando che “è una sensazione meravigliosa fare il programmatore”, dopo essersi lasciato sfuggire che stava provando a creare una applicazione web.

Come accade per ogni innovazione guidata dall’IA – e vista la crescente accessibilità degli strumenti – il fenomeno prende piede nel settore, cambia le abitudini e porta alla nascita di nuove aziende e strumenti. Solo poche settimane fa, la società di vibe coding Lovable era in trattative per una valutazione da 1,5 miliardi di dollari. È evidente che non si può fermare questa corrente: bisogna imparare a gestirla, creare barriere adeguate e gestire correttamente i rischi. Ma quali sono questi rischi?

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });

I rischi per la sicurezza

Così come il vibe coding può essere utilizzato per scopi innovativi, può anche diventare un veicolo per nuove minacce informatiche. Per affrontare in modo efficace lo scenario, le aziende hanno bisogno di un codice sicuro, conforme e gestibile. La verità è che un codice dannoso non deve essere sofisticato né particolarmente duraturo per creare danni.

Nell’odierno panorama delle minacce guidate dall’IA, i criminali possono persino utilizzare comandi vocali per generare codice dannoso volto a sfruttare le vulnerabilità. Se portiamo questa riflessione un passo oltre, il quadro si complica ulteriormente con l’introduzione degli agenti IA, che aggiungono un’altra dimensione pericolosa. Sebbene l’IA generativa possa già produrre codice come parte del vibe coding, è comunque necessario che l’esecuzione del codice avvenga in ambienti isolati, almeno finché un agente IA non se ne assumerà la responsabilità.

Il vibe coding può inoltre causare problemi all’interno dei team stessi della sicurezza. Spesso è un’attività individuale, che compromette la natura collaborativa e agile delle pratiche DevOps. Senza una programmazione strutturata e una consapevolezza della sicurezza, il vibe coding può introdurre rischi nascosti.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });

Strategie difensive

Il vibe coding rappresenta un salto in termini di astrazione, consentendo ai programmatori di generare codice con il linguaggio naturale. Se da un lato abbassa la barriera d’ingresso e democratizza l’accesso alla programmazione, dall’altro aumenta il rischio di un uso improprio da parte di utenti non qualificati. Le aziende devono adottare una visione di lungo periodo. Il vibe coding è solo l’ultima evoluzione degli attacchi guidati dall’IA, e per quanto sia facile concentrarsi sulla tecnologia del momento, le aziende devono prepararsi a difendersi da questo fenomeno e da ciò che verrà dopo.

La prima e più importante strategia difensiva consiste nell’adozione di un’architettura Zero Trust. Questo processo di sicurezza presuppone che nessuna entità (utente, dispositivo o applicazione) debba essere considerata attendibile a priori, anche se si trova all’interno della rete aziendale. Il vecchio adagio “se riesci a raggiungerlo, puoi violarlo” non è mai stato così attuale. Per questo motivo, ridurre o eliminare la superficie d’attacco è uno dei modi più efficaci per rafforzare il proprio livello di sicurezza.

In secondo luogo, le tecnologie basate su piattaforma offrono un valore elevato. I fornitori di piattaforme, infatti, raccolgono e analizzano enormi quantità di dati grazie al supporto di milioni di clienti, e le informazioni che ne derivano sono estremamente preziose. È un po’ come il concetto di immunità di gregge; se una vulnerabilità viene individuata e risolta in un’organizzazione, la soluzione può essere rapidamente estesa a molte altre. In sostanza, adottando una piattaforma condivisa, le aziende beneficiano dell’esperienza collettiva e della protezione derivante dall’intero ecosistema. Infine, è fondamentale che le aziende adottino un approccio proattivo alla sicurezza, passando da una logica difensiva a una di tipo offensivo, quella che comunemente viene chiamata “threat hunting”, ovvero caccia alle minacce. Mitigando i rischi prima che si aggravino, le aziende possono rafforzare il loro livello di sicurezza complessivo.

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });

Uno sguardo al futuro

In definitiva, per ragioni come l’efficienza dei costi, l’intelligenza artificiale continuerà a cambiare il modo in cui lavoriamo e quindi a influenzare come ci proteggiamo dalle minacce in evoluzione. In futuro, il vibe coding potrebbe coinvolgere più agenti di intelligenza artificiale che gestiscono diversi aspetti del processo, con un agente per ambiti come la creatività, la sicurezza e la struttura.

Quando ben implementata, la sicurezza può stimolare crescita e guadagni, favorendo l’espansione sul mercato, l’agilità operativa e l’adozione di best practice aziendali. Al contrario, se trascurata, rende le aziende vulnerabili ai rischi legati alle più recenti innovazioni e tendenze dell’IA. Adottando una visione di lungo termine del panorama delle minacce, implementando un modello Zero Trust e adottando un approccio proattivo alla loro sicurezza, le aziende possono proteggersi meglio e crescere con successo.

L'articolo Vibe Coding: Rivoluzione o Rischio per la Sicurezza? proviene da il blog della sicurezza informatica.

NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornamenti e il fornitore invita a installarli immediatamente: exploit per CVE-2025-7775 sono stati individuati su dispositivi non protetti.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
I bug includono un overflow di memoria con rischio di esecuzione di codice e di negazione del servizio, un secondo bug simile con crash del servizio e comportamento imprevedibile e un problema di controllo degli accessi nell’interfaccia di gestione. I bug interessano sia le release standard sia le build conformi a FIPS/NDcPP. Gli aggiornamenti sono già stati distribuiti per i servizi cloud gestiti dal fornitore, ma le installazioni client richiedono aggiornamenti manuali.

Le versioni interessate sono: NetScaler ADC e Gateway 14.1 (precedentemente alla versione 14.1-47.48), 13.1 (precedente alla versione 13.1-59.22), nonché NetScaler ADC 13.1-FIPS/NDcPP (precedente alla versione 13.1-37.241) e 12.1-FIPS/NDcPP (precedente alla versione 12.1-55.330).

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Si segnala inoltre che le versioni 12.1 e 13.0 non sono più supportati e devono essere trasferiti alle versioni correnti. Gli aggiornamenti sono disponibili sia per i gateway standard sia per le distribuzioni Secure Private Access on-prem e ibride che utilizzano istanze NetScaler.

Citrix consiglia di effettuare l’aggiornamento alle seguenti build:

• 14.1-47.48 e versioni successive per la riga 14.1;ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
• 13.1-59.22 e versioni successive per 13.1;
• 13.1-37.241 e versioni successive per 13.1-FIPS/NDcPP;
• 12.1-55.330 e versioni successive per 12.1-FIPS/NDcPP.ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });

Non ci sono soluzioni alternative.

Sono già state implementate delle correzioni per i cloud gestiti da Citrix e per l’Autenticazione Adattiva.

Per valutare la propria installazione, gli amministratori possono verificare la presenza nella propria configurazione delle stringhe rivelatrici elencate nel bollettino. Citrix ha inviato una notifica a clienti e partner tramite il sito di supporto di NetScaler. I problemi sono confermati anche dai bollettini di settore e dai database delle vulnerabilità.

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });
L'articolo Vulnerabilità critiche in NetScaler ADC e Gateway. Aggiorna subito! Gli attacchi sono in corso! proviene da il blog della sicurezza informatica.

I criminali informatici stanno rapidamente padroneggiando l’intelligenza artificiale generativa, e non stiamo più parlando di lettere di riscatto “spaventose”, ma di sviluppo di malware a tutti gli effetti. Il team di ricerca di Anthropic ha riferito che gli aggressori si affidano sempre più a modelli linguistici di grandi dimensioni, fino all’intero ciclo di creazione e vendita di strumenti di crittografia dei dati.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
Parallelamente, ESET ha descritto un concetto di attacco in cui i modelli locali, dal lato dell’aggressore, assumono le fasi chiave dell’estorsione. La totalità delle osservazioni mostra come l‘intelligenza artificiale rimuova le barriere tecniche e acceleri l’evoluzione degli schemi ransomware.

Secondo Anthropic, i partecipanti alla scena dell’estorsione utilizzano Claude non solo per preparare testi e scenari di negoziazione, ma anche per generare codice, testare e pacchettizzare programmi e lanciare servizi secondo il modello “crime as a service”. L’attività è stata registrata da un operatore del Regno Unito, a cui è stato assegnato l’identificativo GTG-5004.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Dall’inizio dell’anno, l’operatore offre kit di attacco su forum underground a prezzi compresi tra 400 e 1.200 dollari, a seconda del livello di configurazione. Le descrizioni includevano diverse opzioni di crittografia, strumenti per aumentare l’affidabilità operativa e tecniche per eludere il rilevamento. Allo stesso tempo, secondo Anthropic, il creatore non ha una conoscenza approfondita della crittografia, delle tecniche di controanalisi o dei meccanismi interni di Windows: ha colmato queste lacune con l’aiuto di suggerimenti e della generazione automatica di Claude.

L’azienda ha bloccato gli account coinvolti e implementato filtri aggiuntivi sulla sua piattaforma, tra cui regole per il riconoscimento di pattern di codice distintivi e controlli basati sulle firme dei campioni caricati, per impedire in anticipo i tentativi di trasformare l’IA in una fabbrica di malware . Ciò non significa che l’IA stia già producendo in serie tutti i moderni trojan crittografici, ma la tendenza è allarmante: anche gli operatori immaturi stanno ottenendo un acceleratore che in precedenza era disponibile solo per gruppi esperti di tecnologia.

Il contesto del settore non fa che gettare benzina sul fuoco. Negli ultimi anni, gli estorsori sono diventati più aggressivi e inventivi, e i parametri di valutazione all’inizio del 2025 indicavano volumi record di incidenti e profitti multimilionari per i criminali. Alle conferenze di settore, è stato riconosciuto che i progressi sistemici nella lotta contro l’estorsione non sono ancora visibili. In questo contesto, l’intelligenza artificiale promette non solo un adattamento estetico dell’estorsione, ma un ampliamento dell’arsenale, dalla fase di penetrazione all’analisi automatizzata dei dati rubati e alla formulazione delle richieste.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Un capitolo a parte è la dimostrazione di ESET chiamata PromptLock(del quale abbiamo parlato ieri). Si tratta di un prototipo in cui un modello distribuito localmente può generare script Lua al volo per inventariare i file di destinazione, rubare contenuti e avviare la crittografia. Gli autori sottolineano che si tratta di un concetto, non di uno strumento visto in attacchi reali, ma illustra un cambiamento: i modelli di grandi dimensioni non sono più solo un “prompt” basato sul cloud e stanno diventando una componente autonoma dell’infrastruttura di un aggressore.

Certo, l’intelligenza artificiale locale richiede risorse e occupa spazio, ma i trucchi per ottimizzare e semplificare l’inferenza rimuovono alcune delle limitazioni, e i criminali informatici stanno già esplorando queste possibilità.

Il rapporto di Anthropic descrive anche un altro cluster, identificato come GTG-2002. In questo caso, Claude Code è stato utilizzato per selezionare automaticamente i bersagli, preparare strumenti di accesso, sviluppare e modificare malware e quindi esfiltrare e contrassegnare i dati rubati. Alla fine, la stessa IA ha contribuito a generare richieste di riscatto basate sul valore di quanto trovato negli archivi. Nell’ultimo mese, l’azienda stima che almeno diciassette organizzazioni del settore pubblico, sanitario, dei servizi di emergenza e delle istituzioni religiose siano state colpite, senza rivelarne i nomi. Questa architettura mostra come il modello diventi sia un “consulente” che un operatore, riducendo il tempo tra la ricognizione e la monetizzazione.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
Alcuni analisti osservano che la totale “dipendenza dall’intelligenza artificiale” tra i ransomware non è ancora diventata la norma e che i modelli sono più comunemente utilizzati come primo step di sviluppo, per l’ingegneria sociale e l’accesso iniziale. Tuttavia, il quadro emergente sta già cambiando gli equilibri di potere: abbonamenti economici, sviluppi open source e strumenti di lancio locali rendono lo sviluppo e la manutenzione delle operazioni ransomware più accessibili che mai.

Se questa dinamica continua, i difensori dovranno considerare non solo i nuovi file binari, ma anche le catene decisionali delle macchine che questi file binari producono, testano e distribuiscono.

L'articolo La Democratizzazione della Criminalità informatica è arrivata! “Non so programmare, ma scrivo ransomware” proviene da il blog della sicurezza informatica.

For certain situations, older hardware is preferred or even needed to accomplish a task. This is common in industrial applications where old machinery might not be supported by modern hardware or software. Even in these situations though, we have the benefit of modern technology and the Internet to get these systems up and running again. [Old Computers Sucked] is not only building a mid-90s system to receive NOAA satellite imagery, he’s doing it only with tools and equipment available to someone from this era.

Of course the first step here is to set up a computer and the relevant software that an amateur radio operator would have had access to in 1994. [Old Computers Sucked] already had the computer, so he turned to JV-FAX for software. This tool can decode the APT encoding used by some NOAA satellites without immediately filling his 2 MB hard drive, so with that out of the way he starts on building the radio.

In the 90s, wire wrapping was common for prototyping so he builds a hardware digitizer interface using this method, which will be used to help the computer interface with the radio. [Old Computers Sucked] is rolling his own hardware here as well, based on a Motorola MC3362 VHF FM chip and a phase-locked loop (PLL), although this time on a PCB since RF doesn’t behave nicely with wire wrap. The PCB design is also done with software from the 90s, in this case Protel which is known today as Altium Designer.

In the end, [Old Computers Sucked] was able to receive portions of imagery from weather satellites still using the analog FM signals from days of yore, but there are a few problems with his build that are keeping him from seeing perfectly clear imagery. He’s not exactly sure what’s wrong but he suspects its with the hardware digitizer as it was behaving erratically earlier in the build. We admire his dedication to the time period, though, down to almost every detail of the build. It reminds us of [saveitforparts]’s effort to get an 80s satellite internet experience a little while back.

youtube.com/embed/xVsBt21cs8Q?…

hackaday.com/2025/08/28/receiv…

Il mondo della telefonia VoIP è finito ancora una volta nel mirino dei criminali informatici. Questa volta tocca a FreePBX, la piattaforma open-source costruita su Asterisk e diffusissima in aziende, call center e provider di servizi.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
La Sangoma FreePBX Security Team ha lanciato l’allarme: una vulnerabilità zero-day sta colpendo i sistemi che espongono in rete l’Administrator Control Panel (ACP). E non si tratta di una minaccia teorica: da giorni l’exploit è già attivamente sfruttato, con conseguenze pesanti per chi non ha preso adeguate contromisure.

L’attacco: comandi arbitrari e compromissioni di massa

Secondo le prime segnalazioni, l’exploit permette agli aggressori di eseguire qualsiasi comando con i privilegi dell’utente Asterisk. In altre parole, controllo totale del PBX e possibilità di manipolare configurazioni, deviare chiamate, compromettere trunk SIP e persino generare traffico internazionale non autorizzato.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Un utente del forum FreePBX ha dichiarato:

“Abbiamo riscontrato compromissioni multiple all’interno della nostra infrastruttura, con circa 3.000 estensioni SIP e 500 trunk impattati.”

Non si tratta di un caso isolato: altri amministratori, persino su Reddit, hanno confermato di aver subito la stessa sorte.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });

Indicatori di compromissione (IoC) da monitorare

Sangoma non ha divulgato i dettagli tecnici della vulnerabilità, ma la community ha condiviso una serie di segnali da cercare nei propri sistemi:

• File /etc/freepbx.conf mancante o modificato.
• Presenza dello script /var/www/html/.clean.sh, caricato dagli attaccanti.ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
• Log Apache sospetti legati a modular.php.
• Chiamate insolite verso l’estensione 9998 nei log di Asterisk (a partire dal 21 agosto).
• Voci non autorizzate nella tabella ampusers del database MariaDB/MySQL, con la comparsa di un utente sospetto ampuser.ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });

Chi riscontra anche uno solo di questi IoC deve considerare il proprio sistema già compromesso.

Patch di emergenza (ma non per tutti…)

La Sangoma FreePBX Security Team ha rilasciato un fix EDGE per proteggere le nuove installazioni, in attesa della patch ufficiale prevista a stretto giro. Tuttavia, la correzione non risolve i sistemi già infetti.

Comandi per installare l’EDGE fix:

ezstandalone.cmd.push(function () { ezstandalone.showAds(616); });
FreePBX v16/v17:

fwconsole ma downloadinstall endpoint --edge

PBXAct v16:

fwconsole ma downloadinstall endpoint --tag 16.0.88.19

PBXAct v17:

ezstandalone.cmd.push(function () { ezstandalone.showAds(617); });
fwconsole ma downloadinstall endpoint --tag 17.0.2.31

C’è però un problema non da poco: chi ha un contratto di supporto scaduto rischia di non poter scaricare l’aggiornamento, restando così con il PBX esposto e senza difese.

Cosa fare subito

Gli amministratori che non riescono ad applicare il fix devono bloccare immediatamente l’accesso all’ACP da internet, limitandolo solo a host fidati.
In caso di compromissione, le indicazioni di Sangoma sono chiare:

• Ripristinare i sistemi da backup antecedenti al 21 agosto.ezstandalone.cmd.push(function () { ezstandalone.showAds(618); });
• Reinstallare i moduli aggiornati su ambienti puliti.
• Cambiare tutte le credenziali di sistema e SIP.
• Analizzare call detail records e fatturazione per traffico sospetto, soprattutto internazionale.ezstandalone.cmd.push(function () { ezstandalone.showAds(619); });

Conclusione

Esporre pannelli di amministrazione su internet rappresenta un rischio critico che non dovrebbe mai essere sottovalutato. La vicenda FreePBX dimostra come una vulnerabilità zero-day, combinata con configurazioni poco accorte, possa rapidamente trasformarsi in una compromissione su larga scala.

È fondamentale adottare un approccio proattivo: limitare l’accesso agli ACP esclusivamente da host fidati, monitorare costantemente gli indicatori di compromissione e mantenere aggiornati moduli e componenti. Solo così è possibile ridurre l’impatto di minacce che, come in questo caso, possono colpire senza preavviso e con conseguenze rilevanti per la continuità operativa e la sicurezza delle comunicazioni aziendali.

L'articolo FreePBX sotto attacco: exploit zero-day già in uso, rilasciata una patch di emergenza proviene da il blog della sicurezza informatica.