[devicemodder] wrote in to let us know they managed to install Linux Mint on their FRP-locked Panasonic Toughpad FZ-A2.

Android devices such as the FZ-A2 can be locked with Factory Reset Protection (FRP). The FRP limits what you can do with a device, tying it to a user account. On the surface that’s a good thing for consumers as it disincentivizes stealing. Unfortunately, when combined with SecureBoot, it also means you can’t just install whatever software you want on your hardware. [devicemodder] managed to get Linux Mint running on their FZ-A2, which is a notable achievement by itself, but even more remarkable is how it was done.

So how did [devicemodder] get around this limitation? The first step was to dump the BIOS using a CH341A-based programmer. From there, the image was uploaded to ChatGPT along with a request to disable SecureBoot. The resulting file was flashed back onto the FZ-A2, and all available fingers were crossed.

And… it worked! ChatGPT modified the BIOS enough that the Linux Mint installer could be booted from a flash drive. There are a bunch of bugs and issues to work through but in principle we have just seen AI capable enough to successfully patch a binary dump of BIOS code, which, for the record, is kind of hard to do. We’re not sure what all of this might portend.

So is uploading binaries to ChatGPT with requests for mods vibe coding? Or should we invent a new term for this type of hack?

hackaday.com/2025/06/07/chatgp…

Un exploit proof-of-concept in Apache Tomcat è stato divulgato, il quale prende di mira una vulnerabilità critica di tipo denial-of-service esponendo i server che eseguono le versioni da 10.1.10 a 10.1.39. La vulnerabilità sfrutta un difetto fondamentale nel modo in cui Apache Tomcat elabora le intestazioni di priorità HTTP/2, prendendo di mira specificamente il sistema di gestione della memoria del server.

L’exploit, monitorato con il codice CVE-2025-31650, sfrutta le intestazioni di priorità HTTP/2 malformate per causare l’esaurimento della memoria nelle istanze Tomcat vulnerabili. Il ricercatore di sicurezza Abdualhadi Khalifa ha sviluppato e pubblicato il codice exploit il 5 giugno 2025. Il vettore di attacco si basa sull’invio di richieste appositamente predisposte con parametri di priorità non validi che aggirano i normali meccanismi di convalida, causando perdite di memoria progressive all’interno dell’ambiente di runtime di Tomcat.

L’exploit utilizza una sofisticata serie di intestazioni di priorità malformate, tra cui valori numerici estremi quali u=-1, q=2, u=4294967295, q=-1 e u=-2147483648, q=1,5. Questi parametri sono progettati per innescare casi limite nell’implementazione HTTP/2 di Tomcat, in cui il server non riesce a deallocare correttamente le risorse di memoria dopo aver elaborato le richieste non valide.

La metodologia di attacco prevede l’avvio di attività asincrone simultanee che bombardano il server di destinazione con migliaia di richieste appositamente predisposte. L’exploit basato su Python sfrutta la libreria httpx con supporto HTTP/2 abilitato, implementando una classe chiamata TomcatKiller che gestisce l’esecuzione dell’attacco.

Le organizzazioni che utilizzano versioni vulnerabili di Apache Tomcat dovrebbero dare immediatamente priorità all’aggiornamento a versioni con patch che risolvano CVE-2025-31650. La vulnerabilità richiede un’attenta identificazione della versione prima di implementare strategie di correzione.

Le protezioni a livello di rete dovrebbero includere l’implementazione di una limitazione della velocità per le connessioni HTTP/2 e il monitoraggio di modelli insoliti nell’utilizzo delle intestazioni di priorità. I team di sicurezza dovrebbero configurare sistemi di rilevamento delle intrusioni per identificare i modelli caratteristici di questo exploit, in particolare i valori specifici dell’intestazione di priorità non validi utilizzati nell’attacco.

L'articolo Divulgato un exploit PoC sul bug di Apache Tomcat che porta al DOS del sistema proviene da il blog della sicurezza informatica.

As much as people love USB-C, there’s one massive flaw that becomes very obvious the moment you look at the ports on any computer. This being that there’s no (standardized) way to tell what any of those ports do. Some may do display out (Alt-Mode), some may allow for charging, but it remains mostly a matter of praying to the hardware gods. According to a recent blog post, this is where Microsoft will seek to enforce a USB-C feature set on all (mobile) computers compliant with its Windows Hardware Compatibility Program (WHCP).

This also comes after years of the USB Implementers Forum, re-branding the USB specifications, with the most recent iteration thankfully using the bandwidth (in Gbps) as specifier (meaning no ‘USB PlaidSpeed’, sadly). Claiming to follow this end-user friendly spirit, the Microsoft blog post goes on to a minimum set of features that USB-C ports should have, as detailed in the above table.

Most notable is probably that PC charging support is required, as is support for at least one external display. As for the negatives, this seems to only apply to laptops, and no actual charging requirements are set (USB-PD voltages, wattage, etc.), so what the actual impact of this will be remains to be seen.

One thing remains certain, however, and that is that by trying to make USB-C the One True Connector for literally everything, there will always remain cases where end-user expectations remain unfulfilled.

hackaday.com/2025/06/07/micros…

[Moby Pixel] wanted to build a fun MIDI controller. In the end, he didn’t build it just once, but twice—with the aim of finding out which microcontroller was most fit for this musical purpose. Pitted against each other? The ESP32 and Raspberry Pi Pico.

The MIDI controller itself is quite fetching. It’s built with a 4 x 4 array of arcade buttons to act as triggers for MIDI notes or events. They’re assembled in a nice wooden case with a lovely graphic wrap on it. The buttons themselves are wired to a microcontroller, which is then responsible for sending MIDI data to other devices.

At this point, the project diverges. Originally, [Moby Pixel] set the device up to work with an ESP32 using wireless MIDI over Bluetooth. However, he soon found a problem. Musical performance is all about timing, and the ESP32 setup was struggling with intermittent latency spikes that would ruin the performance. Enter the Raspberry Pi Pico using MIDI over USB. The hardwired solution eliminated the latency problems and made the controller far more satisfying to use.

There may be solutions to the latency issue with the wireless ESP32 setup, be they in code, hardware configuration, or otherwise. But if you want to play with the most accuracy and the minimum fuss, you’ll probably prefer the hardwired setup.

Latency is a vibe killer in music as we’ve explored previously.

youtube.com/embed/yeVNayMNu6s?…

hackaday.com/2025/06/07/when-w…

When you watch a movie and see those perfect focus switches or zooms, the chances are you’re not seeing the result of the cameraman or focus operator manually moving the lens controls. Instead, they will have been planned and programmed in advance and executed by a motor. If you take a close look at many lenses you’ll see a ring that’s more than just extra knurling, it’s a gear wheel for this purpose. Want to experiment with this technique without buying professional grade accessories? [l0u0k0e] has you covered with a 3D printable focus zoom motor accessory.

The motor behind it all is a geared stepper motor, and there are a set of printed parts to complete the model. It’s recommended to use PETG, and nylon for the gears, but it would work in PLA with a shorter life. It’s designed to work with the standard 15 mm tube you’ll find on many camera rigs, and while you can write your own Arduino sketches to control it if you wish, we’re given instructions for hooking it up to existing focus drivers. The model is on Printables, should you wish to try.

This is by no means the first focus puller we’ve seen, in fact you can even use LEGO.

hackaday.com/2025/06/07/printe…

Roundcube Webmail è un client IMAP multilingue basato su browser con un’interfaccia utente simile a quella di un’applicazione. Offre tutte le funzionalità che ci si aspetta da un client di posta elettronica, tra cui supporto MIME, rubrica, gestione delle cartelle, ricerca della posta e controllo ortografico.

Di recente, il Qi’anxin CERT ha rilevato un bug di esecuzione di codice backend di Roundcube Webmail (CVE-2025-49113).

La vulnerabilità consiste in un errore logico nella funzione di deserializzazione personalizzata di Roundcube Webmail durante l’elaborazione di file contenenti delimitatori specifici, consentendo ad aggressori autenticati di attivare la deserializzazione creando nomi di file dannosi, ottenendo così l’esecuzione di comandi da remoto e il controllo completo del server.

Attualmente, i dettagli tecnici e la PoC della vulnerabilità sono stati resi pubblici su Internet. Dato l’ampio impatto della vulnerabilità, si consiglia ai clienti di eseguire un’autoispezione e protezione il prima possibile.

Ambito di influenza

Versioni interessate

• Webmail Roundcube
• Webmail Roundcube

Ricorrenza

Attualmente, il ricercatore di sicurezza del Qi’anxin Threat Intelligence Center ha riprodotto con successo la vulnerabilità di esecuzione del codice in background di Roundcube Webmail (CVE-2025-49113); lo screenshot è il seguente:

Attività interessate

I dati della piattaforma di mappatura degli asset Qi’anxin Eagle Chart mostrano che il numero totale di asset a rischio relativi alla Cina che corrisponde a 57.430 istanze, e il numero totale di IP associati è 7.345. La distribuzione degli asset a rischio globali è la seguente:

Il numero totale di asset a rischio globale associati alla vulnerabilità di esecuzione del codice backend di Roundcube Webmail (CVE-2025-49113) è 1.985.313, mentre il numero totale di IP associati è 224.197. La distribuzione degli asset a rischio globale è la seguente:

Attualmente, la versione ufficiale è disponibile per l’aggiornamento. Si consiglia agli utenti interessati di eseguire l’aggiornamento alla versione più recente. Anche l’Agenzia per la cybersicurezza nazionale ha emesso un avviso in tal senso, riportando la necessita di aggiornare immediatamente le istanze affette dalla clamorosa Remote Code Execution.

L'articolo Una RCE da 9.9 su Roundcube Webmail è stata rilevata dai ricercatori cinesi proviene da il blog della sicurezza informatica.

La console Nintendo Switch 2 è appena uscita e gli hacker hanno già scoperto una vulnerabilità.

Il ricercatore di sicurezza David Buchanan è stato il primo a segnalare un exploit per la console Nintendo che sfrutta un punto debole nella libreria condivisa del dispositivo. Ha dimostrato come la cosiddetta vulnerabilità userland possa essere utilizzata per modificare il comportamento di un programma senza accedere al kernel di sistema, ad esempio per forzare la console a visualizzare una grafica personalizzata sotto forma di una scacchiera.

L’exploit utilizza la tecnica Return-Oriented Programming (ROP) , in cui l’hacker sostituisce l’indirizzo di ritorno in memoria, forzando il programma a eseguire il codice di qualcun altro.

Tuttavia, in questo caso, stiamo parlando solo del livello utente: non sarà possibile ottenere l’accesso root o “hackerare” la console in questo modo. Inoltre, lo stesso Buchanan ha ammesso che una simile dimostrazione non ha alcuna utilità pratica e, in teoria, potrebbe essere semplicemente un video di YouTube, sebbene la comunità degli sviluppatori confermi la realtà della vulnerabilità.

Nintendo è tradizionalmente molto severa riguardo alle modifiche ai propri dispositivi. L’azienda ha già avvertito che potrebbe disabilitare la console se un utente tentasse di modificare i servizi di sistema del proprio account. Il contratto d’uso di Switch 2 vieta inoltre esplicitamente qualsiasi manomissione del software.

Sebbene l’exploit trovato non rappresenti una minaccia, potrebbe esserci una nuova sfida da affrontare: quanto tempo ci vorrà agli hacker per aggirare completamente la protezione e ottenere l’accesso al firmware personalizzato?

E come reagirà Nintendo stessa?

L'articolo Nintendo Switch 2: un exploit scoperto al secondo giorno dell’uscita proviene da il blog della sicurezza informatica.

I truffatori utilizzano la piattaforma Google Apps Script per ospitare pagine di phishing che sembrano legittime e rubano le credenziali degli utenti. I ricercatori di Cofense hanno lanciato l’allarme per nuovi attacchi. Secondo loro, la finta finestra di login è “progettata con cura e ha l’aspetto di una finestra di login legittima”.

“Gli attacchi utilizzano email camuffate da vari account che contengono un link a pagine web che utilizzano Google Apps Script, una piattaforma di sviluppo integrata con i prodotti Google”, spiegano gli esperti.

“Ospitando una pagina di phishing nell’ambiente attendibile di Google, gli aggressori creano l’illusione che sia autentica. Questo rende più facile indurre gli utenti a fornire informazioni sensibili.”

Google Apps Script è la piattaforma di scripting cloud di Google basata su JavaScript che consente di automatizzare le attività ed estendere le funzionalità dei prodotti Google Workspace come Fogli Google, Documenti Google, Drive, Gmail e Calendar. Gli script vengono eseguiti nel dominio attendibile di Google (script.google.com), che è presente nell’elenco degli indirizzi consentiti nella maggior parte delle soluzioni di sicurezza.

Gli aggressori sfruttano Google Apps Script creando script che visualizzano una falsa pagina di accesso che intercetta le credenziali inserite dalle vittime. I dati vengono quindi trasmessi al server degli hacker tramite una richiesta nascosta. Poiché la piattaforma consente a chiunque di pubblicare script come applicazioni web pubbliche e fornisce un dominio Google a tale scopo, gli aggressori possono sfruttarla per evitare sospetti. Inoltre, gli hacker possono modificare da remoto i propri script senza dover inviare nuovamente i link alle vittime, consentendo loro di passare rapidamente da un’esca all’altra.

I ricercatori scrivono che le email di phishing contengono in genere inviti all’azione correlati, ad esempio, al pagamento di bollette o tasse e rimandano a una pagina dannosa ospitata sull’infrastruttura di Google. Dopo che la vittima ha inserito login e password, viene reindirizzata al servizio reale imitato dalla pagina di phishing, per indebolire la vigilanza dell’utente e dare agli aggressori più tempo per utilizzare i dati rubati.

Gli analisti di Cofense concludono che per ora la difesa più efficace contro questo tipo di attacchi è bloccare completamente l’accesso agli URL di Google Apps Script o almeno consigliare di contrassegnarli come potenzialmente pericolosi.

L'articolo Attacco invisibile via Google: rubano credenziali con pagine ospitate su Apps Script proviene da il blog della sicurezza informatica.

Your average 3D printer is just a nozzle shooting out hot plastic while being moved around by a precise robotic mechanism. There’s nothing stopping you replacing the robot and moving around the plastic-squirting nozzle yourself. That’s precisely what [3D Sanago] did to produce this cute little robot.

The beginning of the video sets the tone. “First we create the base that will become the robot vacuum’s body,” explains [3D Sanago]. “I quickly and precisely make a 15 x 15 cm square almost as if I were a 3D printer.” It’s tedious and tiring to move the 3D printing pen through the motions to build simple parts, but that’s the whole gimmick here. What’s wild is how good the results are. With the right post-processing techniques using an iron, [3D Sanago] is able to produce quite attractive plastic parts that almost justify the huge time investment.

The robot itself works in a fairly straightforward fashion. It’s got four gear motors driving four omniwheels, which let it pan around in all directions with ease. They’re under command of an Arduino Uno paired with a multi-channel motor driver board. The robot also has a servo-controlled arm for moving small objects. The robot lacks autonomy. Instead, [3D Sanago] gave it a wireless module so it could be commanded with a PS4 controller. Despite being referred to as a “robot vacuum,” it’s more of a general “cleaning robot” since it only has an arm to move objects, with no actual vacuum hardware. It’s prime use? Picking up socks.

We’ve seen [3D Sanago]’s fine work before, too. Video after the break.

youtube.com/embed/EAw71MKXW-I?…

hackaday.com/2025/06/06/3d-pen…

If you have never heard of the Bellmac-32, you aren’t alone. But it is a good bet that most, if not all, of the CPUs in your devices today use technology pioneered by this early 32-bit CPU. The chip was honored with the IEEE Milestone award, and [Willie Jones] explains why in a recent post in Spectrum.

The chip dates from the late 1970s. AT&T’s Bell Labs had a virtual monopoly on phones in the United States, but that was changing, and the government was pressing for divestiture. However, regulators finally allowed Bell to enter the computing market. There was only one problem: everyone else had a huge head start.

There was only one thing to do. There was no point in trying to catch the leaders. Bell decided to leap ahead of the pack. In a time when 8-bit processors were the norm and there were nascent 16-bit processors, they produced a 32-bit processor that ran at a — for the time — snappy 2 MHz.

At the time (1978), most chips used PMOS or NMOS transistors, but Bellmac-32 used CMOS and was made to host compiled C programs. Problems with CMOS were often addressed using dynamic logic, but Bell used a different technique, domino logic, to meet their goals.

Domino logic lets devices cascade like falling dominoes in between clock pulses. By 1980, the device reached 2 MHz, and a second generation could reach speeds of up to 9 MHz. For contrast, the Intel 8088 from 1981 ran at 4.77 MHz and handled, at most, half the data in a given time period as the Bellmac-32. Of course, the 68000 was out a year earlier, but you could argue it was a 16-bit CPU, despite some 32-bit features.

It is fun to imagine what life would be like today if we had fast 32-bit Unix machines widely available in the early 1980s. History has shown that many of Bellmac’s decisions were correct. CMOS was the future. Many of the design and testing techniques would go on to become standard operating procedure across the industry. But, as for the Bellmac-32, it didn’t really get the attention it deserved. It did go on in the AT&T 3B computers as the WE 32×00 family of CPUs.

You can check out a 1982 promo video about the CPU below, which also explains domino logic. Instruction sets have changed a bit since then. You can see a 68000 and 8086 face off, and imagine how the Bellmac would have done in comparison.

youtube.com/embed/JnSS5qI3Cwo?…

hackaday.com/2025/06/06/the-be…

For all the remarkable improvements we’ve seen in desktop 3D printers, metal printers have tended to stay out of reach for hackers, mostly because they usually rely on precise and expensive laser systems. This makes it all the more refreshing to see [Dan Gelbart]’s demonstration of Rapidia’s cast-to-sinter method, which goes from SLA prints to ceramic or metal models.

The process began by printing the model in resin, scaled up by 19% to account for shrinkage. [Dan] then used the resin print to make a mold out of silicone rubber, after first painting the model to keep chemicals from the resin from inhibiting the silicone’s polymerization. Once the silicone had set, he cut the original model out of the mold and prepared the mold for pouring. He made a slurry out of metal powder and a water-based binder and poured this into the mold, then froze the mold and its contents at -40 ℃. The resulting mixture of metal powder and ice forms a composite much stronger than pure ice, from which [Dan] was able to forcefully peel back the silicone mold without damaging the part. Next, the still-frozen part was freeze-dried for twenty hours, then finally treated in a vacuum sintering oven for twelve hours to make the final part. The video below the break shows the process.

A significant advantage of this method is that it can produce parts with much higher resolution and better surface finish than other methods. The silicone mold is precise enough that the final print’s quality is mostly determined by the fineness of the metal powder used, and it’s easy to reach micron-scale resolution. The most expensive part of the process is the vacuum sintering furnace, but [Dan] notes that if you only want ceramic and not metal parts, a much cheaper ceramic sintering oven will work better.

We’ve seen sintering-based metal printers a few times before, as well a few more esoteric methods. We’ve also covered a few of [Dan]’s previous videos on mechanical prototyping methods and building a precision CNC lathe.

youtube.com/embed/kLgPW2672s4?…

Thanks to [Eric R Mockler] for the tip!

hackaday.com/2025/06/06/freeze…

Sometimes it’s nice to have a widget to do a single task and avoid getting distracted by the supposed simplicity of doing it with an app on a smartphone. [Dina Amin] built a timer from an old flip clock to stay focused.

Starting with a disassembly of the flip clocks she found at a flea market with [Simone Giertz], [Amin] decided to change the twenty four hour mechanism to a twenty four minute one which was similar to the amount of time she was already using for several different practices. Since she’s an expert in animation, she planned on turning a set of CT scans into the animation that would play on the section that had previously been the minutes of the clock.

As much of the original clock’s components were damaged, and [Amin] didn’t have a chance to learn clockmaking from scratch in a week, she tried a few different drive mechanisms for the build. The drum from an air fryer timer driven with an electric motor fit the bill, but off enough from proper minutes that [Amin] switched from numerals to a yellow circle that fills in as it approaches the satisfying ding of completion.

If you want to see Simone’s Moon flip clock we’ve covered that project too.

youtube.com/embed/JCh1N5dAVxI?…

hackaday.com/2025/06/06/a-flip…

L’FBI ha riferito che la botnet Android BadBox 2.0 ha già infettato oltre 1 milione di dispositivi in ​​tutto il mondo. Gli attacchi includono decoder TV, tablet, smart TV, smartphone e così via, che il malware trasforma in proxy residenziali.

“La botnet BadBox 2.0 è composta da milioni di dispositivi infetti e contiene molteplici backdoor verso proxy che i criminali informatici utilizzano per vendere o fornire accesso gratuito a reti domestiche compromesse da utilizzare per una serie di attività criminali”, avverte l’FBI.

Ricordiamo che BadBox è un malware per Android basato sul codice della famiglia di malware Triada. Spesso, il malware può essere preinstallato su dispositivi economici fin da subito, e infettarli anche tramite aggiornamenti e applicazioni dannose che a volte penetrano in Google Play e negli store di terze parti.

Il malware viene utilizzato per rubare dati, installare altro malware e consente agli aggressori di ottenere l’accesso remoto alla rete in cui si trova il gadget infetto. “I criminali informatici ottengono l’accesso non autorizzato alle reti domestiche dotando i dispositivi di malware prima che vengano acquistati dall’utente o infettandoli durante il download di applicazioni necessarie contenenti backdoor, cosa che di solito avviene durante la configurazione”, spiega l’FBI. “Una volta che i dispositivi IoT compromessi si connettono alle reti domestiche, diventano parte della botnet BadBox 2.0 e dei proxy residenziali, comunemente utilizzati per attività dannose”.

Come già segnalato dagli esperti di sicurezza, BadBox è in grado di rubare codici di autenticazione a due fattori, installare altro malware e creare nuovi account di posta elettronica e di messaggistica istantanea per diffondere notizie false. Inoltre, gli operatori di BadBox sono associati a frodi pubblicitarie e i dispositivi infetti vengono utilizzati come proxy residenziali. Sono noti anche casi in cui gli aggressori hanno utilizzato gli indirizzi IP delle vittime per accedere agli account di altre persone utilizzando credenziali rubate.

Ricordiamo che BadBox è stato scoperto per la prima volta nel 2023 dal ricercatore indipendente di sicurezza informatica Daniel Milisic, il quale notò che su Amazon venivano venduti decoder Android T95 infettati da malware complessi fin dal primo momento.

Alla fine del 2024, le forze dell’ordine tedesche hanno tentato di disattivare parte della botnet BadBox. Tuttavia, i ricercatori di BitSight hanno subito segnalato che l’operazione ha avuto un impatto minimo sul suo funzionamento. Entro la fine di dicembre, la botnet contava nuovamente oltre 192.000 dispositivi infetti in tutto il mondo.

Questa primavera, Human Security ha guidato una nuova operazione per combattere la botnet, in collaborazione con Google, Trend Micro, la Shadowserver Foundation e altri esperti. Con la botnet che ha nuovamente registrato una rapida crescita, raggiungendo quasi un milione di dispositivi IoT infetti, i ricercatori l’hanno chiamata BadBox 2.0.

“Questa campagna ha colpito oltre 1 milione di dispositivi consumer. I dispositivi inclusi nella botnet BadBox 2.0 includevano tablet, decoder, proiettori digitali e altri dispositivi di fascia bassa, senza marchio e non certificati”, ha scritto Human Security. “I dispositivi infetti sono soluzioni basate su Android Open Source Project, non dispositivi con sistema operativo Android TV o certificati Play Protect. Sono tutti prodotti nella Cina continentale e spediti in tutto il mondo”.

Secondo i ricercatori, la maggior parte dei gadget interessati si trova in Brasile (37,6%), Stati Uniti (18,2%), Messico (6,3%) e Argentina (5,3%). Nel marzo 2025, l’operazione ha consentito di realizzare un sinkhole su alcuni domini botnet, interrompendo la comunicazione con i server di comando e controllo di 500.000 dispositivi infetti. Tuttavia, secondo l’FBI, la botnet sta nuovamente crescendo poiché i consumatori acquistano sempre più prodotti compromessi e li collegano a Internet.

L'articolo Ti vendono una TV e ti regalano un malware! BadBox: un milione di dispositivi per una botnet invisibile proviene da il blog della sicurezza informatica.

Sometimes a project forms itself around a component rather than an idea, and thus it was that [Maximilien] found himself building a data rate monitor for the connection between two data centers. Some MD0657C2-R LED dot matrix displays for not a lot needed a project.

The displays are mounted in groups of four on small PCBs, driven by a MAX6952, which are then controlled by a Pi Pico. There are several display panels in the project, each of which is a pained and laser-etched acrylic sheet with a pair of the LED boards mounted behind it. These in turn go on the front of a wooden enclosure, with a set of LED ring lights behind to illuminate the etched parts of the panels. Each display panel has its own Pico, daisy chained together and driven by a Pico W that supplies network connectivity.

As you might expect, this isn’t the first status panel we’ve brought you over the years.

hackaday.com/2025/06/06/a-netw…

This week, Hackaday’s Elliot Williams and Kristina Panos joined forces to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.

In Hackaday news, the 2025 Pet Hacks Contest rolls on, but only for a short time longer. You have until Tuesday, June 10th to show us what you’ve got, so head over to Hackaday.IO and get started now! In other news, check out what adaptive optics can do when it comes to capturing pictures of the Sun. In other, other news, there won’t be a Podcast next week as Elliot is on vacation.

On What’s That Sound, Kristina failed once again, but four of you guessed correctly. Congratulations to [ToyoKogyo12aTurbo] who fared better and wins a limited edition Hackaday Podcast t-shirt!

After that, it’s on to the hacks and such, beginning with a largely-printed 6-DOF robot arm. We take a look at a bunch of awesome 3D prints like guitars and skateboards, take a look at some pet hacks, and discuss brick layers in orcaslicer. Finally, we talk a lot about keyboards, especially the quickly-evaporating Blackberry keyboards and why they’re disappearing.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Download in DRM-free MP3 and savor at your leisure.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 324 Show Notes:

News:

• Adaptive Optics Take Clearest Pictures Of The Sun Yet
• 2025 Pet Hacks Contest

What’s that Sound?

• Congratulations to [ToyoKogyo12aTurbo] for knowing it was the ping of modern active sonar!

Interesting Hacks of the Week:

• Simulation And Motion Planning For 6DOF Robotic Arm
  
  • Robotic Arm EB310

  
  

• 2025 Pet Hacks Contest: Keep The Prey At Bay With The Cat Valve
• Testing Brick Layers In OrcaSlicer With Staggered Perimeters
• You Can Make Your Own Ribbon Mic With A Gum Wrapper
  
  • Blue Ribbon Microphone
  • DIY Ribbon Element Upgrades A Studio Microphone

  
  

• Add Wood Grain Texture To 3D Prints – With A Model Of A Log
  
  • Adding Texture To 3D Prints
  • Fuzzy Skin Finish For 3D Prints, Now On Top Layers
  • Texturing 3D prints in IdeaMaker for Strength — CNC Kitchen

  
  

• You Wouldn’t Download A Skateboard?

Quick Hacks:

• Elliot’s Picks:
  
  • Ender 3 Pro Gets A Second Job As A Stator Winder
  • Open Source Watch Movement Really Ticks All The Boxes
  • Passive Saturation Box Is A Cheap Way To Distort Your Sound
    
    • A Brief Hobbyist Primer On Clipping Diodes

    
    

  • Can We Replace A Program Counter With A Linear-Feedback Shift Register? Yes We Can!

  
  

• Kristina’s Picks:
  
  • 2025 Pet Hacks Contest: Weigh Your Dog The Easy Way
  • 3D Printing A Modular Guitar Means It Can Look Like Whatever You Want
  • A CRT Display For Retro Weather Forecasting

  
  

Can’t-Miss Articles:

• The Blackberry Keyboard: How An Open-Source Ecosystem Sprouts
• Keebin’ With Kristina: The One With The H.R. Giger Keyboard
  
  • Old book typewriter Underwood Elliott-Fisher (1930), how to type on books, and why – YouTube

  
  

hackaday.com/2025/06/06/hackad…

This project, sent in by [Henk], goes through a few different ways to make a solder stencil using a vinyl cutter, a CO2 laser, and a fiber laser.

The project starts with identifying a method to convert the board’s Gerber files to a PNG, which is ultimately used to create a vector file for use with the laser. The first stencil, made with the CO2 laser, was cut out of masking tape. This worked fine for larger cutouts and is certainly a cheap option if you don’t have too many small components. A slightly better approach with the CO2 laser was using vinyl sheet release paper, which seemed to hold together better than the tape.
Laser-cut masking tape works, but not for long.
A vinyl cutter was also used as an experiment, but it didn’t perform as well as the CO2 laser, as expected, since the cutter uses a knife rather than light, leading to some tearing issues.

The final method utilized a fiber laser and an empty drink can to create a metal stencil. First, the can had to be cut open, heated, and flattened. The fiber laser was able to cut clean footprints in the aluminum, creating a stencil that would hold up to more use than the paper variations.

The finale of this exploration into laser stencil making was using the fiber laser to solder the board together. The stencil was used to spread paste on the pads, parts were placed on the board, and then the fiber laser heated the solder paste to solder them to the board. The board looked a bit toasty afterwards, but we imagine the process could be fine-tuned to reduce the collateral damage a bit.

Once you’ve got your stencil ready to go, you can combine it with a 3D printed jig to hold the PCB while you apply the solder paste.

hackaday.com/2025/06/06/solder…

Il mercato delle app di intelligenza artificiale sta attraversando un’altra strana svolta: ora gli utenti possono “abbracciare” personaggi di fantasia, baciare i propri cari defunti e trasformare foto casuali in fantasmagorie animate in modo scadente.

Queste app, che hanno invaso TikTok e gli app store, oscillano tra l’imbarazzante e l’inquietante. Da un lato ci sono modelli apparentemente innocui con gatti e nonne, mentre dall’altro ci sono scene apertamente feticistiche in cui l’intelligenza artificiale modifica i corpi, ingrandisce i seni e trasforma foto ordinarie in mini-scene a sfondo sessuale.

Gli algoritmi di queste app possono fare molto: cambiare un’acconciatura, snellire l’utente, farlo ballare in pigiama con le orecchie. Tuttavia, dietro l’apparente innocenza, si celano spesso funzioni discutibili. In una delle app più popolari, bastano un paio di foto per ottenere un video in cui l’utente abbraccia o bacia appassionatamente una celebrità, ad esempio Robert Pattinson nei panni di Edward Cullen.

Un altro modello permette di aumentare il seno della protagonista da B a DD in un paio di clic. Il tutto viene presentato con un’animazione che rispecchia l’idea di romanticismo infantile: i baci ricordano più il piegarsi meccanico dei volti, e gli abbracci sembrano come se qualcuno stesse cercando di incollare una bambola Barbie a un personaggio LEGO.

Alcune di queste app sono di proprietà di aziende poco conosciute provenienti da Turchia e Cina. Dietro le splendide pubblicità e le promesse romantiche si nasconde un modello di monetizzazione basato sulle microtransazioni: da 2,99 dollari a settimana a 69,99 dollari all’anno per l’accesso a un numero limitato di “crediti” per la generazione di video.

Il problema non è solo estetico o morale, ma anche culturale e tecnologico: queste app sfruttano modelli generativi senza controlli né contesto, alimentando rappresentazioni distorte di relazioni, affettività e corpi. E lo fanno in un ecosistema dove l’illusione dell’interazione emotiva viene venduta a rate settimanali.

Nel mezzo di questa deriva, resta una domanda aperta: cosa succede quando milioni di persone iniziano a confondere simulazioni affettive con esperienze autentiche? Forse l’intelligenza artificiale non ci sta solo intrattenendo, ma sta ridefinendo, un video alla volta, cosa intendiamo per contatto umano.

L'articolo Baci, Seni e Glitch! Il Romantico Mondo Trash Delle App per i DeepFake AI proviene da il blog della sicurezza informatica.