PhotoPrism è un’applicazione open source dedicata alla gestione e all’organizzazione di foto e video, progettata per essere installata direttamente sui propri sistemi (self‑hosted) e utilizzabile tramite un comune browser web. L’obiettivo principale del progetto è...

🔗 Leggi il post completo

Linux Mint è una distribuzione GNU/Linux libera e open source nata nel 2006 grazie al lavoro di Clément Lefebvre e del suo team di sviluppo. Il progetto nasce con l’obiettivo di offrire un’esperienza desktop...

🔗 Leggi il post completo

La poca attenzione nell'installare un'estensione da parte di un dipendente costerà cara in termini di credibilità alla piattaforma proprietà di Microsoft che ha confermato una violazione tutta da quantificare.
La superficie colpita al momento pare essere limitata solo ad alcuni repository "Internal", ma le evoluzioni sono tutte da scoprire.

🔗 Leggi il post completo

La gestione delle modifiche allo schema di un database è uno degli aspetti più delicati e sottovalutati nei progetti software moderni. Script SQL sparsi, modifiche manuali non documentate, disallineamenti tra ambienti di sviluppo, staging e produzione: questi problemi sono comuni in quasi ogni team di sviluppo. Liquibase risolve questi problemi portando il controllo di versione al database, proprio come Git fa con il codice sorgente.

Cos’è Liquibase e perché usarlo

Liquibase è uno strumento non open source rilasciato con licenza FSL con disponibilità del codice sorgente, per il database schema change management. Permette di definire, versionare e distribuire le modifiche allo schema del database tramite file di configurazione (chiamati changelog), supportando oltre 30 database diversi: Oracle, MySQL, PostgreSQL, SQL Server, DB2 e molti altri.

Il problema che Liquibase risolve è semplice ma critico: applicare modifiche al database con script SQL tradizionali è un processo manuale, error-prone e difficile da tracciare. Questi script spesso mancano di versioning, rendendo quasi impossibile sapere quale versione dello schema è in produzione rispetto allo sviluppo. Liquibase standardizza questo processo tramite file di configurazione versionati, tracciamento automatico via checksum MD5 e supporto nativo al rollback.

Concetti fondamentali

Prima di entrare nell’implementazione, è essenziale comprendere i quattro pilastri architetturali di Liquibase:

Changelog: è il file principale che contiene tutte le modifiche al database, organizzate in sequenza. Può essere in formato XML, YAML, JSON o SQL puro. Tipicamente si usa un file master che include sotto-changelog organizzati per release o sprint.

ChangeSet: è l’unità atomica di modifica, identificata univocamente da una coppia id + author. Ogni changeset viene eseguito una sola volta e tracciato nella tabella DATABASECHANGELOG. Una regola fondamentale: non modificare mai un changeset già eseguito; crea sempre un nuovo changeset per le correzioni.

Preconditions: verifiche condizionali che devono passare prima dell’esecuzione di un changeset. Permettono di rendere sicure le migrazioni anche in scenari complessi (es. verificare che una colonna non esista già prima di aggiungerla).

Contexts e Labels: meccanismi di filtraggio per controllare quali changeset vengono eseguiti in quale ambiente (dev, staging, prod). Indispensabili per gestire dati di test o configurazioni ambiente-specifiche.

Struttura base di un changelog YAML

Ecco un esempio pratico di changelog in formato YAML per la creazione di una tabella transazioni con supporto al rollback:

databaseChangeLog:
  - changeSet:
      id: create-payment-table
      author: devops.team
      changes:
        - createTable:
            tableName: payment_transaction
            columns:
              - column:
                  name: id
                  type: varchar(50)
                  constraints:
                    primaryKey: true
                    nullable: false
              - column:
                  name: amount
                  type: decimal(15,2)
                  constraints:
                    nullable: false
              - column:
                  name: currency_code
                  type: char(3)
                  constraints:
                    nullable: false
              - column:
                  name: transaction_date
                  type: timestamp
                  defaultValueComputed: CURRENT_TIMESTAMP
              - column:
                  name: status
                  type: varchar(20)
                  constraints:
                    nullable: false
      rollback:
        - dropTable:
            tableName: payment_transaction

Configurazione per ambienti multipli

Un file liquibase.properties separato per ogni ambiente permette di gestire connessioni e contesti in modo sicuro:

# liquibase-dev.properties
changeLogFile=db/changelog.yaml
url=jdbc:postgresql://localhost:5432/devdb
username=dev_user
password=${DB_PASSWORD}
contexts=dev,test
defaultSchemaName=DEV_SCHEMA
logLevel=DEBUG

Precondizioni per deployment sicuri

Le precondizioni rendono Liquibase robusto in ambienti dove lo schema potrebbe trovarsi in stati intermedi. Questo esempio in SQL nativo verifica che una colonna non esista prima di aggiungerla:

--liquibase formatted sql

--changeset devops.team:add-merchant-id
--preconditions onFail:MARK_RAN onError:HALT
--precondition-sql-check expectedResult:0 SELECT COUNT(*) FROM information_schema.columns WHERE table_name = 'payment_transaction' AND column_name = 'merchant_id'

ALTER TABLE payment_transaction 
ADD COLUMN merchant_id VARCHAR(50);

--rollback ALTER TABLE payment_transaction DROP COLUMN merchant_id;

Integrazione in pipeline CI/CD

La vera potenza di Liquibase emerge quando viene integrato in una pipeline di deployment automatizzato. Ecco un esempio completo con Jenkins:

pipeline {
    agent any
    
    stages {
        stage('Validate') {
            steps {
                sh 'liquibase validate'
            }
        }
        
        stage('Deploy Staging') {
            steps {
                sh 'liquibase --contexts=staging update'
            }
        }
        
        stage('Deploy Production') {
            when { 
                branch 'main' 
            }
            steps {
                input 'Deploy to Production?'
                sh 'liquibase --contexts=prod update'
            }
        }
    }
    
    post {
        failure {
            sh 'liquibase rollbackCount 1'
        }
    }
}

Pattern Kubernetes: Init Container

Per architetture cloud-native, il pattern degli init container è ideale: Liquibase viene eseguito come container di inizializzazione prima dell’avvio dell’applicazione, garantendo che lo schema sia sempre aggiornato prima che il servizio inizi a ricevere traffico:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: payment-service
spec:
  template:
    spec:
      initContainers:
      - name: liquibase-migration
        image: liquibase/liquibase:4.25.0
        command:
        - liquibase
        - --url=jdbc:postgresql://$(DB_HOST):5432/$(DB_NAME)
        - --username=$(DB_USER)
        - --password=$(DB_PASSWORD)
        - update
        env:
        - name: DB_HOST
          valueFrom:
            secretKeyRef:
              name: db-credentials
              key: host
      containers:
      - name: payment-service
        image: payment-service:latest
        ports:
        - containerPort: 8080

Best practice per ambienti enterprise

Alcune regole fondamentali per adottare Liquibase in contesti di produzione:

• Principio del minimo privilegio: l’utente Liquibase deve avere solo i permessi DDL necessari, mai privilegi DBA completi.
• Revisione obbligatoria: ogni modifica al changelog deve passare per una Pull Request con review da un secondo sviluppatore prima del merge.
• Test su dati realistici: prima del deployment in produzione, eseguire le migrazioni in un ambiente staging con volumi di dati simili a quelli di produzione per individuare problemi di performance.
• Mai modificare changeset già eseguiti: il checksum MD5 rileverei la modifica e bloccherebbe il deployment. Crea sempre un nuovo changeset per le correzioni.
• Crea indici dopo i bulk insert: creare indici prima di caricare grandi quantità di dati aumenta enormemente il tempo di migrazione senza benefici pratici.

Monitoraggio con Prometheus e Grafana

Per ambienti enterprise, integrare le metriche Liquibase in un sistema di osservabilità permette di rilevare problemi prima che impattino la produzione. Le metriche chiave da tracciare includono:

• Durata per changeset: identifica migrazioni lente che potrebbero causare downtime
• Lock contention: conflitti sulla tabella DATABASECHANGELOGLOCK in ambienti multi-istanza
• Checksum failures: modifica non autorizzata a changeset già eseguiti
• Rollback rate: indicatore di qualità del processo di testing prima del deployment

# Esempio metriche Prometheus esportate da Liquibase
liquibase_deployment_success_total{environment="prod"} 145
liquibase_changeset_duration_seconds_bucket{id="1",database="prod",le="0.5"} 120
liquibase_rollback_total{environment="prod"} 3
liquibase_deployment_failure_total{environment="prod",reason="validation_error"} 2

Conclusione

Liquibase trasforma la gestione del database da processo manuale e rischioso a pratica ingegneristica controllata e auditabile. L’integrazione con i sistemi CI/CD permette di applicare agli schemi database gli stessi standard di qualità già applicati al codice applicativo: versionamento, review, test automatizzati e rollback prevedibile.

Per team che adottano DevOps o pratiche di continuous delivery, Liquibase non è un’opzione ma una necessità: è il tassello mancante tra il deployment del codice e quello del database.

Fonte: Liquibase: Database Change Management and Automated Deployments — DZone

L’8 maggio 2026, il team di Exchange Online di Microsoft ha annunciato la deprecazione dell’autenticazione basata su certificati (CBA) diretta per Exchange ActiveSync (EAS). Entro la fine del 2026, qualsiasi client EAS che utilizza certificati per autenticarsi direttamente contro Exchange Online dovrà migrare al nuovo metodo basato su Microsoft Entra ID, pena l’interruzione del servizio email mobile.

Se la tua organizzazione ha configurato l’accesso alle email mobili tramite certificati client, questo articolo ti guida attraverso tutto ciò che devi sapere: perché Microsoft sta effettuando questo cambiamento, chi è interessato e — soprattutto — come completare la migrazione prima della scadenza.

Cos’è l’autenticazione CBA diretta per Exchange ActiveSync?

Exchange ActiveSync (EAS) è il protocollo che permette ai dispositivi mobili (smartphone, tablet) di sincronizzare email, calendari e contatti con Exchange Online. L’autenticazione basata su certificati (Certificate-Based Authentication, CBA) rappresenta un approccio passwordless: invece di inserire credenziali, il dispositivo presenta un certificato X.509 per autenticarsi.

Nel flusso legacy attuale, il funzionamento è il seguente:

1. I certificati client vengono distribuiti ai dispositivi mobili durante la configurazione MDM
2. Quando l’app email si connette, invia il certificato direttamente a Exchange Online
3. Exchange Online riceve il certificato e ne gestisce internamente la validazione
4. L’accesso viene concesso senza che il client ottenga mai un token OAuth standard

Questo approccio, sebbene sicuro a livello crittografico, è classificato da Azure AD come autenticazione legacy: il client non ottiene mai un token OAuth moderno, ma si affida a un meccanismo interno ad alta privilegio all’interno di Exchange Online.

Perché Microsoft sta eliminando questo metodo?

Il problema centrale è che la CBA diretta verso Exchange bypassa il moderno ecosistema di autenticazione di Microsoft Entra ID. Le conseguenze pratiche per gli amministratori sono significative:

• Incompatibilità con le Conditional Access Policy: le policy che bloccano l’autenticazione legacy in Azure AD bloccano anche la CBA diretta su EAS, creando un dilemma “tutto o niente” per chi vuole applicare controlli di sicurezza moderni senza interrompere l’accesso email mobile
• Mancanza di token OAuth: senza un token OAuth standard, non è possibile applicare controlli granulari come la durata della sessione, la revoca in tempo reale o l’integrazione con Identity Protection
• Superficie di attacco interna: Exchange Online si affida a un meccanismo interno ad alta privilegio per validare i certificati, introducendo una complessità architetturale non necessaria

Il nuovo flusso con Entra ID risolve tutti questi problemi:

1. Il client invia il certificato a Microsoft Entra ID per la validazione
2. Entra ID valida il certificato e restituisce un token OAuth al client
3. Il client presenta il token OAuth a Exchange Online per l’autenticazione

In questo modo, la CBA diventa un metodo di autenticazione moderno a tutti gli effetti, integrato nel flusso OAuth standard e soggetto a tutte le Conditional Access Policy configurate nel tenant.

Chi è interessato da questa modifica?

È importante chiarire cosa non è interessato da questa deprecazione:

• Outlook Mobile (usa già Modern Authentication)
• Exchange Server on-premises
• Altri client Exchange Online che non usano EAS con CBA
• Organizzazioni che non hanno mai configurato EAS CBA

La modifica riguarda esclusivamente i client Exchange ActiveSync (tipicamente le app email native di iOS e Android) configurati per usare certificati client come metodo di autenticazione verso Exchange Online.

Come verificare se la tua organizzazione è interessata:

1. Controlla la configurazione MDM: se il tipo di autenticazione nei profili email è impostato su “Certificate” anziché “OAuth”, probabilmente stai usando la CBA legacy
2. Verifica i log di sign-in di Entra ID: accedi all’Azure Portal → Microsoft Entra ID → Sign-in logs → filtra per “Client App: Exchange ActiveSync”. Se in “Authentication Details” vedi “Certificate” come metodo di autenticazione, sei impattato

Guida alla migrazione verso Entra-Based CBA

La buona notizia è che l’infrastruttura PKI e le CA (Certificate Authority) utilizzate per EAS CBA sono fondamentalmente le stesse richieste per Entra CBA. Questo semplifica notevolmente la transizione.

Step 1: Abilitare Microsoft Entra CBA nel tenant

Accedi al portale Azure e naviga in Microsoft Entra ID → Protection → Authentication methods → Certificate-based authentication. Configura le tue Certificate Authority:

• Almeno una CA root deve essere configurata in Entra ID, insieme a tutte le CA intermedie
• Ogni CA deve avere una Certificate Revocation List (CRL) accessibile da un URL pubblico su Internet
• Gli utenti devono avere accesso a un certificato emesso da una PKI attendibile

Per verificare la configurazione via PowerShell (Microsoft Graph PowerShell):

# Recupera le CA di autenticazione configurate nel directory
Get-MgOrganizationCertificateBasedAuthConfiguration -OrganizationId (Get-MgOrganization).Id

# Oppure con il modulo AzureAD (legacy)
Get-AzureADTrustedCertificateAuthority

Step 2: Verificare i certificati utente

Per Exchange ActiveSync, i certificati client devono contenere l’indirizzo email routable dell’utente nel campo Subject Alternative Name (SAN), in uno dei seguenti formati:

• Principal Name: user@domain.com
• RFC822 Name: user@domain.com (Entra ID lo mappa all’attributo Proxy Address)

I certificati già usati per la CBA diretta su EAS soddisfano quasi certamente questo requisito. Verifica semplicemente la presenza dell’email aziendale nel campo SAN del certificato.

Step 3: Aggiornare la configurazione dei dispositivi

Questa è la parte più operativa della migrazione. I profili email sui dispositivi mobili devono essere aggiornati per eseguire l’autenticazione certificato contro Entra ID invece che direttamente verso Exchange. In pratica:

• Se usi Microsoft Intune: aggiorna i profili di configurazione email per usare OAuth + certificati come metodo di autenticazione. Consulta la documentazione Intune per le specifiche della configurazione per iOS e Android
• Se usi soluzioni MDM di terze parti (VMware Workspace ONE, JAMF, MobileIron, ecc.): consulta il vendor per le istruzioni specifiche sull’abilitazione dell’autenticazione Entra con certificati

I nuovi endpoint dedicati per la CBA su EAS sono:

• Multi-tenant worldwide: outlook-cba.office365.com
• GCC-High: outlook-cba.office365.us
• DoD: outlook-dod-cba.office365.us

Step 4: Test e monitoraggio

Prima del rollout globale, testa il nuovo flusso Entra CBA con un gruppo pilota di dispositivi e utenti. Monitora i log di sign-in di Entra ID e i report sui dispositivi Exchange ActiveSync per identificare eventuali dispositivi che ancora usano il metodo legacy.

Timeline e pianificazione

I punti chiave da tenere a mente:

• Immediato: blocco per i nuovi tenant — non possono più configurare la CBA legacy
• Prossime settimane: Microsoft invierà comunicazioni Message Center ai tenant impattati
• Fine 2026: la CBA diretta verso Exchange Online verrà disabilitata per tutti i tenant esistenti

Microsoft raccomanda di completare la migrazione ben prima della scadenza di fine 2026 per evitare interruzioni del servizio. Considerando i tempi tipici di test, approvazione e deployment nei dispositivi mobili aziendali, è consigliabile iniziare la pianificazione adesso.

Conclusione

La deprecazione della CBA diretta per Exchange ActiveSync è parte del percorso di Microsoft verso la modernizzazione completa dell’autenticazione su Exchange Online, sulla scia dell’eliminazione di Basic Auth avvenuta negli anni scorsi. Il nuovo flusso basato su Entra ID offre sicurezza equivalente — passwordless, resistente al phishing, basato su certificati — con una ben migliore integrazione nell’ecosistema moderno di autenticazione e la piena compatibilità con le Conditional Access Policy.

Se la tua organizzazione usa EAS con CBA, il momento di iniziare la pianificazione della migrazione è adesso: la runway fino a fine 2026 è sufficiente per una transizione ordinata, ma non illimitata.

Fonte: Microsoft Tech Community — Exchange Team Blog (8 maggio 2026) | 4sysops.com

In sei ore, tra le 11:36 e le 17:48 UTC del 18 maggio 2026, una campagna automatizzata denominata Megalodon ha iniettato 5.718 commit malevoli in 5.561 repository GitHub, esfiltrandone segreti CI/CD, credenziali cloud, chiavi SSH e token API verso un server di comando e controllo. È l’attacco alla supply chain dello sviluppo software più rapido e capillare mai documentato, e fa parte di un’ondata più ampia che sta ridisegnando il panorama delle minacce per sviluppatori e team DevOps.

Come funziona Megalodon: l’automazione al servizio del compromesso di massa

I ricercatori di SafeDep e StepSecurity hanno analizzato la campagna in dettaglio. L’attaccante ha utilizzato account GitHub usa-e-getta con username alfanumerici casuali di 8 caratteri (es. rkb8el9r, bhlru9nr, lo6wt4t6), configurando git per falsificare l’identità dell’autore con nomi plausibili — build-bot, auto-ci, ci-bot, pipeline-bot — e indirizzi email automatizzati come build-system@noreply.dev. Questi nomi mimano la normale attività di automazione CI/CD, riducendo drasticamente la probabilità che un commit sospetto venga rilevato durante una code review.

Il payload iniettato è un workflow GitHub Actions contenente uno script bash codificato in Base64. Una volta che il proprietario del repository accetta il pull request o effettua un push, il workflow si attiva nella pipeline CI/CD e procede all’esfiltrazione massiva di dati verso il C2 all’indirizzo 216.126.225[.]129:8443.

Dati esfiltrati: una lista completa

La lista di informazioni sottratte dalla campagna Megalodon è particolarmente estesa e rivela quanto profondamente il workflow malevolo si radichi nell’ambiente di esecuzione CI/CD:

• Variabili d’ambiente CI, /proc/*/environ e ambiente del processo PID 1
• Credenziali AWS (access key, secret key, session token)
• Access token Google Cloud Platform
• Credenziali di ruolo IAM ottenute via AWS IMDSv2, GCP metadata server e Azure IMDS
• Chiavi private SSH
• Configurazioni Docker e Kubernetes
• Vault token (HashiCorp Vault)
• Terraform credentials
• Shell history
• Chiavi API, stringhe di connessione a database, JWT, chiavi PEM private
• GITHUB_TOKEN, token GitLab CI/CD e Bitbucket
• File .env, credentials.json, service-account.json e altri file di configurazione sensibili
• GitHub Actions OIDC token (URL + token)

# Indicatori di Compromissione - Megalodon
# C2 server
216.126.225.129:8443
# Account attaccante (pattern)
Username: 8 caratteri alfanumerici casuali (es. rkb8el9r, bhlru9nr, lo6wt4t6)
Author forged: build-bot, auto-ci, ci-bot, pipeline-bot
Email forged: build-system@noreply.dev, ci-bot@automated.dev
# Varianti payload
SysDiag          - Workflow su ogni push/pull_request (mass variant)
Optimize-Build   - Workflow su workflow_dispatch (targeted variant, backdoor dormante)
# Pacchetto npm compromesso
@tiledesk/tiledesk-server versioni 2.18.6 - 2.18.12
# Finestra temporale dell'attacco
18 maggio 2026, 11:36 - 17:48 UTC
5.718 commit su 5.561 repository in ~6 ore
# Pacchetti npm malevoli (Polymarket drainer - campagna correlata)
polymarket-trading-cli, polymarket-terminal, polymarket-trade
polymarket-auto-trade, polymarket-copy-trading, polymarket-bot
polymarket-claude-code, polymarket-ai-agent, polymarket-trader
Endpoint esfiltrazione: hxxps://polymarketbot.polymarketdev.workers[.]dev/v1/wallets/keys

Due varianti per due obiettivi

L’analisi tecnica ha identificato due varianti del payload con finalità diverse. La variante SysDiag è quella di massa: aggiunge un workflow attivato da ogni push e pull request, massimizzando le opportunità di esecuzione. La variante Optimize-Build è più chirurgica: sostituisce i workflow esistenti con trigger workflow_dispatch, creando backdoor dormienti che l’attaccante può attivare on-demand tramite le API di GitHub. Nel caso di @tiledesk/tiledesk-server è stata utilizzata la variante targeted, che colpisce i CI/CD runner ma non si attiva quando il pacchetto npm viene semplicemente installato dagli utenti finali.

“Il compromesso di GitHub da parte di TeamPCP era solo l’inizio”, ha dichiarato Moshe Siman Tov Bustan di OX Security. “Quello che arriverà è un’ondata infinita, uno tsunami di attacchi cyber contro sviluppatori in tutto il mondo.”

Il contesto: TeamPCP e l’ecosistema open source sotto attacco

Megalodon si inserisce in una serie di attacchi orchestrati dal gruppo TeamPCP, che ha sfruttato la natura interconnessa della supply chain software per compromettere centinaia di progetti open source in modalità worm-like. Tra le vittime precedenti: TanStack, Grafana Labs, OpenAI, Mistral AI e ora GitHub direttamente. Il gruppo ha stabilito partnership con BreachForums e crew di estorsione come LAPSUS$ e VECT, combinando motivazioni finanziarie con possibili interessi geopolitici: è stato documentato il deployment di wiper malware su macchine localizzate in Iran e Israele.

La risposta di npm all’ondata di attacchi è stata drastica: invalidazione di tutti i token di accesso granulare con write access che bypassano l’autenticazione a due fattori. NPM ha anche raccomandato il passaggio a Trusted Publishing per ridurre la dipendenza da questi token. Come ha sottolineato Socket, però, l’intervento compra tempo ma non chiude la vulnerabilità sottostante: finché il worm è attivo, continuerà a raccogliere nuovi token non appena i maintainer ne genereranno di nuovi.

Due righe per i difensori

La campagna Megalodon evidenzia debolezze strutturali nella sicurezza delle pipeline CI/CD. I team DevSecOps dovrebbero adottare le seguenti contromisure:

• Abilitare il pinning dei workflow: configurare i GitHub Actions workflow per usare SHA commit espliciti invece di tag mutabili (es. uses: actions/checkout@abc1234 invece di @v3), rendendo impossibile la sostituzione silenziosa dei workflow
• Implementare policy di branch protection: richiedere review obbligatorie per ogni push su branch principali, con particolare attenzione alle modifiche a file .github/workflows/
• Monitorare le credenziali con secret scanning: strumenti come GitHub Secret Scanning, Trufflehog o Gitleaks possono rilevare credenziali accidentalmente incluse nei commit
• Adottare Trusted Publishing: su npm e PyPI, il Trusted Publishing elimina la necessità di token statici che possono essere rubati
• Revisione dei permessi GITHUB_TOKEN: limitare i permessi del token al minimo necessario per il workflow specifico, usando permissions: nel file YAML
• Audit degli accessi OIDC: implementare policy rigorose per i token OIDC usati per l’accesso a cloud provider da pipeline CI
• Alerting su deployment key e PAT: monitorare l’uso di Personal Access Token e deploy key, revocando immediatamente quelli non più in uso

Megalodon rappresenta un punto di svolta nella storia degli attacchi alla supply chain: la capacità di compromettere oltre 5.500 repository in meno di sei ore, utilizzando tecniche di evasione che mimano il normale traffico CI/CD, suggerisce un livello di automazione e pianificazione che andrà oltre i singoli episodi. La domanda non è più se una pipeline subirà un tentativo di compromissione, ma quando — e se l’organizzazione ha le visibility necessarie per accorgersene in tempo.

Il Google Pixel 10a si è guadagnato elogi per il migliorato sistema di ricezione del segnale e la gestione termica rispetto al predecessore, ma come ogni nuovo dispositivo non è esente da difetti. Raccogliamo qui i bug più segnalati dalla community internazionale — quelli ancora irrisolti con gli aggiornamenti disponibili — per aiutarti a capire cosa aspettarti prima dell’acquisto o come affrontare i problemi che stai già riscontrando.

1. Schermata di blocco e Always-on Display in crash

Il bug più diffuso riguarda il blocco della schermata di sblocco: in alcuni casi, il display non risponde ai tocchi dopo la riattivazione del dispositivo dal riposo. Un problema correlato colpisce l’Always-on Display (AOD), che rimane attivo senza passare alla schermata normale. I report sono aumentati sensibilmente dopo alcuni aggiornamenti di sistema tramite Pixel Drop. Google ha riconosciuto il problema, ma una patch definitiva non è ancora disponibile. Come rimedio temporaneo si consiglia di aggiornare i servizi Google Play e di riavviare il dispositivo.

2. Notifiche push in ritardo o non recapitate

Diversi utenti segnalano che le notifiche di app come Instagram, Outlook e Snapchat non arrivano in tempo reale: vengono consegnate in blocco solo quando si apre manualmente l’applicazione. Il sistema di ottimizzazione della batteria di Android sembrerebbe limitare eccessivamente l’attività in background di queste app. Impostare il consumo della batteria su “illimitato” per le singole app non risolve sempre il problema, che richiede quindi un intervento a livello di sistema operativo.

3. Android Auto instabile con connessioni cablate e wireless

Chi utilizza Android Auto in auto ha segnalato difficoltà di connessione sia via cavo che wireless: il dispositivo non viene riconosciuto dal sistema del veicolo, oppure l’interfaccia si comporta in modo lento, con ritardi nell’aggiornamento della schermata e blocchi delle app di navigazione. Il problema sembra specifico del Pixel 10a e non dipende solo dalla compatibilità dei cavi. Svuotare la cache di Android Auto o eseguire un reset di fabbrica può dare sollievo temporaneo, ma le ricadute sono frequenti.

4. RCS (Google Messaggi) bloccato dopo il cambio dispositivo

Chi è passato a Pixel 10a da un vecchio smartphone ha incontrato problemi con la funzione RCS Chat in Google Messaggi: l’app rimane bloccata in “connessione in corso” e non riesce a inviare né ricevere messaggi RCS. Il problema si manifesta quando si effettua la migrazione senza prima disattivare l’RCS sul vecchio dispositivo. La soluzione richiede di accedere al portale web di Google per forzare la de-registrazione del numero telefonico dal vecchio dispositivo, un passaggio non immediato per tutti gli utenti.

5. Connettività satellite (T-Sat) non funzionante (mercato USA)

Per gli utenti negli Stati Uniti che dispongono di un piano con copertura satellitare T-Sat: nonostante l’icona di segnale satellite appaia nella barra di stato, la connessione effettiva non si stabilisce, rendendo inutilizzabile la funzione anche per le chiamate di emergenza in aree senza copertura cellulare. Si tratta di un bug specifico per questo mercato, attualmente ancora irrisolto.

Come tenersi aggiornati sulle correzioni

Google rilascia aggiornamenti mensili per i dispositivi Pixel tramite i Pixel Drop e gli aggiornamenti di Google Play Services. Si consiglia di verificare regolarmente la disponibilità di nuovi aggiornamenti in Impostazioni > Sistema > Aggiornamenti di sistema. La maggior parte dei bug elencati è già nota al team di sviluppo e le patch potrebbero arrivare nei prossimi mesi. Chi riscontra problemi persistenti può segnalarli tramite l’app Feedback di Pixel o attraverso i forum ufficiali di Google.

Il nuovo Sony Xperia 1 VIII divide l’utenza: un sondaggio condotto da media taiwanesi rivela valutazioni polarizzate, con quasi pari percentuali di soddisfatti e insoddisfatti. Se da un lato il dispositivo mantiene intatto il DNA del brand — con jack audio da 3,5 mm, slot microSD e un’ottica rinnovata — dall’altro il prezzo elevato e alcune scelte progettuali discusse frenano l’entusiasmo di molti potenziali acquirenti.

Valutazioni polarizzate: il 38% soddisfatto, il 36% insoddisfatto

Secondo il sondaggio analizzato, il 38% degli intervistati si è dichiarato soddisfatto o molto soddisfatto dello Xperia 1 VIII, mentre il 36% ha espresso insoddisfazione. Il restante 26% ha fornito un giudizio neutro. Una polarizzazione netta che riflette la natura stessa di questo smartphone: un prodotto di nicchia che ama e divide, raramente lasciando indifferenti.

Sotto il cofano, Xperia 1 VIII monta il più recente Snapdragon 8 Elite Gen 5, garantendo prestazioni al top della categoria. Il comparto fotografico è stato potenziato con un sensore teleobiettivo di dimensioni maggiori, e il supporto eSIM è finalmente arrivato anche sulla gamma Xperia.

Il prezzo resta il principale ostacolo

Il dato più eloquente emerge dalla domanda sull’intenzione d’acquisto: oltre il 45% degli intervistati ha dichiarato che non comprerà lo Xperia 1 VIII, mentre un altro 45% si dice ancora indeciso, in attesa di recensioni approfondite o di eventuali riduzioni di prezzo. Meno del 10% ha confermato l’acquisto.

La ragione principale? Il costo. La variante top di gamma da 16GB di RAM e 1TB di storage raggiunge circa 6.000 yuan, posizionandosi alla pari con i modelli Ultra dei principali produttori Android e con gli iPhone di fascia alta. La quasi totalità del campione — oltre il 90% — ha giudicato il prezzo “alto” o “molto alto”.

Cosa piace: jack audio, microSD e il nuovo teleobiettivo

Nonostante le critiche, lo Xperia 1 VIII conserva elementi che continuano a raccogliere consensi trasversali. Le tre caratteristiche più apprezzate dagli intervistati sono:

• Il jack da 3,5 mm per le cuffie, sempre più raro negli smartphone di fascia alta
• Lo slot microSD per espandere la memoria
• Il nuovo teleobiettivo da 70mm con sensore ingrandito

In un mercato dove sempre più produttori eliminano queste funzionalità in nome del design ultrasottile, Sony mantiene la rotta e raccoglie i frutti della fedeltà ai propri utenti storici. L’aggiunta dell’eSIM è stata accolta positivamente, soprattutto da chi viaggia spesso o gestisce più linee.

La controversia sul teleobiettivo a zoom variabile

Il punto più dibattuto riguarda il teleobiettivo. Xperia 1 VIII abbandona il caratteristico zoom ottico continuo a focale variabile — una delle specificità tecniche che distingueva la serie — in favore di un sensore da 48 megapixel di dimensioni maggiori con sistema di ritaglio digitale ad alta risoluzione.

Chi apprezzava quella tecnologia la vive come una perdita di identità. Chi invece guarda ai risultati pratici attende i test sul campo per giudicare se il nuovo sensore compensi in termini di qualità d’immagine, specialmente in condizioni di scarsa luminosità.

Software e AI: Sony ancora indietro?

Sul fronte software, le critiche si concentrano sull’assenza di funzionalità AI avanzate, sempre più centrali nell’offerta dei principali competitor Android. L’interfaccia di Xperia resta vicina ad Android stock — giudicata “leggera e veloce” da un lato, “povera di funzioni” dall’altro.

Nonostante le divisioni, il sondaggio rivela che circa la metà degli intervistati è già un utente Sony. La base di fan fedeli è solida, e Xperia 1 VIII sembra voler allargare il proprio appeal verso un pubblico più ampio senza però stravolgere il carattere del brand. Se questa strategia pagherà lo diranno i numeri di vendita dei prossimi mesi.

Un nuovo e misterioso smartphone a marchio REDMI di Xiaomi ha fatto la sua comparsa nei database delle certificazioni cinesi e nei registri IMEI internazionali. Al momento non si conoscono né il nome ufficiale né la serie di appartenenza, ma la notizia ha già attirato l’attenzione degli appassionati per un motivo insolito: il modello sembra indicare un possibile cambio nel sistema di denominazione dei prodotti Xiaomi.

Certificazione CMIIT e registrazione IMEI

Il dispositivo è apparso nel database CMIIT (China’s Ministry of Industry and Information Technology), l’ente cinese che certifica i prodotti elettronici prima della loro commercializzazione. Il numero di modello registrato è 26C1166MP009, e le specifiche tecniche dichiarate indicano supporto a reti GSM, WCDMA, LTE e 5G, oltre a Bluetooth e Wi-Fi. Si tratta quindi di un moderno smartphone 5G, in linea con gli standard attuali.

La presenza del dispositivo era già stata segnalata da alcuni media a marzo 2026, ma solo ora è arrivata la conferma ufficiale tramite la certificazione pubblica. Il nome commerciale rilevato è M516AE, una denominazione decisamente insolita rispetto alle convenzioni Xiaomi tradizionali.

Una doppia registrazione IMEI che fa discutere

Uno degli aspetti più curiosi è la presenza di ben due registrazioni IMEI per lo stesso dispositivo: una a nome di Xiaomi Communications Co Ltd e un’altra intestata a Beijing Xiaomi Electronics Co Ltd. Entrambe fanno riferimento al brand REDMI. Questa doppia registrazione è insolita per Xiaomi e potrebbe segnalare cambiamenti nei processi produttivi, nella distribuzione geografica o nelle procedure di certificazione adottate dall’azienda.

Il sistema di denominazione potrebbe cambiare

L’aspetto che ha acceso maggiormente la curiosità degli esperti del settore riguarda la struttura del nome del modello. Storicamente, Xiaomi ha utilizzato suffissi alfabetici per distinguere le varianti regionali dei propri smartphone:

• G = versione Global
• I = versione India
• C = versione Cina

La codifica M516AE non segue questo schema consolidato, e la presenza della lettera “M” (che potrebbe stare per “Mobile”) insieme alla combinazione “AE” rappresenta una novità. Non ci sono ancora spiegazioni ufficiali da parte di Xiaomi, ma la deviazione dal formato tradizionale potrebbe preannunciare una ristrutturazione del sistema di etichettatura dei modelli.

Specifiche ancora sconosciute

Al momento non è noto quasi nulla sulle specifiche hardware del dispositivo: dimensioni del display, processore, configurazione fotocamere e autonomia della batteria rimangono avvolti nel mistero. Non è ancora chiaro nemmeno se si tratti di un REDMI Note, di un modello della serie K, o di una categoria del tutto nuova.

Negli ultimi anni Xiaomi ha moltiplicato il numero di modelli commercializzati attraverso i suoi brand secondari REDMI e POCO, rendendo sempre più difficile orientarsi solo in base alle sigle. Ulteriori indiscrezioni o nuove certificazioni nei prossimi mesi dovrebbero fare maggiore chiarezza sull’identità di questo misterioso device.

Ogni settimana, il mondo del software libero e open source ci offre una moltitudine di aggiornamenti e nuove versioni di software. Anche se non tutti sono di grande rilevanza, molti di questi possono risultare...

🔗 Leggi il post completo

GNOME Commander è un gestore file grafico a 2 pannelli progettato per gli ambienti desktop basati su GNU/Linux e pensato per utenti che richiedono un controllo preciso e professionale sulle operazioni tra cartelle, sui...

🔗 Leggi il post completo

Il prossimo Galaxy S27 potrebbe nascondere una novità controversa nel suo interno: secondo fonti coreane, Samsung starebbe seriamente valutando l’utilizzo di pannelli OLED prodotti da BOE, colosso cinese dei display, al posto dei tradizionali schermi Samsung Display. L’obiettivo è ridurre il costo di produzione di circa 5 dollari per unità.

Perché BOE?

BOE Technology Group è oggi il principale produttore mondiale di pannelli LCD e uno dei più grandi nel settore OLED. I suoi display sono già utilizzati da numerosi brand Android, ma finora non avevano trovato spazio nella gamma flagship di Samsung. La scelta avrebbe una motivazione principalmente economica: con i costi dei materiali in crescita e la pressione sui prezzi di vendita, Samsung cerca margini di risparmio in ogni componente.

Stando alle informazioni trapelate, Samsung ha già inviato una richiesta di informazioni (RFI) a BOE e ha condotto circa un mese di test preliminari sui pannelli, ottenendo una valutazione iniziale positiva: “nessun problema significativo rilevato”.

Un precedente già esistente

Non si tratta di una novità assoluta per Samsung: i modelli mid-range della linea Galaxy già utilizzano pannelli di fornitori terzi come CSOT e BOE. La vera discontinuità sarebbe estendere questa pratica ai modelli flagship della serie S, che finora erano stati un dominio esclusivo di Samsung Display.

Impatto sulla qualità?

La domanda che si pongono i fan di Galaxy è se questo cambio si tradurrà in una qualità visiva inferiore. BOE ha compiuto passi da gigante in qualità e affidabilità, ed è già fornitore di Apple per alcuni modelli iPhone. Rimane però da vedere se i pannelli cinesi riusciranno a eguagliare i Samsung Display di riferimento nel segmento premium.

Clement Lefebvre, patron di Linux Mint, nel suo consueto post mensile, ha annunciato alcune interessanti novità sullo sviluppo di Cinnamon e di Nemo, il file manager della distro.
L'articolo Linux Mint: Nemo diventa più veloce e arriva una nuova app per gli screenshots proviene da Marco's Box.

🔗 Leggi il post completo

Quando un gruppo APT decide di nascondere le proprie comunicazioni malevole dentro le API di prodotti Microsoft o nei canali Discord, il confine tra traffico legittimo e operazione di spionaggio si fa quasi invisibile per i tradizionali strumenti di sicurezza di rete. È esattamente la scelta operativa che ha compiuto Webworm, gruppo di allineamento cinese attivo da almeno il 2022, che nel 2025 ha arricchito il proprio toolkit con due nuovi implant: EchoCreep e GraphWorm.

Chi è Webworm: storia e attribuzioni

Webworm è stato documentato pubblicamente per la prima volta da Symantec (ora parte di Broadcom) nel settembre 2022. Il gruppo prende di mira agenzie governative e aziende nei settori IT, aerospaziale ed energia elettrica, con un focus geografico che comprende Russia, Georgia, Mongolia e diverse nazioni asiatiche ed europee. I ricercatori hanno identificato sovrapposizioni operative significative con cluster tracciati come FishMonger (alias Aquatic Panda), SixLittleMonkeys e Space Pirates — tutti threat actor con legami all’intelligence cinese.

La scelta dei bersagli — istituzioni governative, operatori di infrastrutture critiche e fornitori di servizi IT — è coerente con gli obiettivi strategici di raccolta intelligence attribuiti agli attori state-sponsored cinesi. Le recenti campagne hanno ampliato il raggio d’azione verso l’Europa, segnalando un’evoluzione geopolitica degli interessi del gruppo.

EchoCreep: Discord come infrastruttura C2

EchoCreep è il componente più semplice — ma non per questo meno insidioso — del nuovo arsenale. Utilizza Discord come canale di Command and Control, sfruttando le API della piattaforma di messaggistica per ricevere comandi dagli operatori e restituire output dalle macchine compromesse. Le funzionalità documentate dai ricercatori includono:

• Upload e download di file arbitrari verso/dal sistema vittima
• Esecuzione di comandi tramite cmd.exe con restituzione dell’output agli operatori
• Persistenza tramite canale Discord dedicato, non esposto pubblicamente

L’analisi del canale Discord utilizzato da EchoCreep rivela che i primi comandi risalgono al 21 marzo 2024: ciò significa che l’implant era già operativo in campagne reali ben prima della sua scoperta pubblica, probabilmente inosservato per oltre un anno.

La scelta di Discord come C2 non è casuale. Il traffico verso discord.com è quasi universalmente consentito nelle policy di rete aziendali, il protocollo è HTTPS e il volume di traffico legittimo è enorme — condizioni ideali per mascherare comunicazioni malevole nel rumore di fondo.

GraphWorm: Microsoft OneDrive come dead drop

GraphWorm è il componente più sofisticato del nuovo toolkit. Utilizza Microsoft Graph API — la stessa infrastruttura usata da milioni di applicazioni enterprise — per le comunicazioni C2, sfruttando specificamente gli endpoint di OneDrive. La tecnica del “cloud dead drop” — usare servizi cloud legittimi come proxy per i comandi — è in crescita tra gli APT più avanzati, ma GraphWorm la porta a un livello di granularità operativa notevole.

Per ciascuna vittima compromessa, GraphWorm crea una directory dedicata su OneDrive, permettendo agli operatori di gestire in modo indipendente le operazioni su target diversi senza interferenze. Le capacità documentate includono:

• Spawn di nuove sessioni cmd.exe per l’esecuzione interattiva di comandi
• Avvio di processi arbitrari sul sistema vittima
• Upload e download di file da/verso OneDrive tramite Graph API
• Self-termination controllata su segnale degli operatori, per ridurre le tracce forensi

Il traffico verso graph.microsoft.com è considerato trust implicito nella maggior parte degli ambienti enterprise Microsoft 365, rendendo il rilevamento basato sul blocco dei domini o sull’ispezione superficiale del traffico del tutto inefficace.

Tooling, proxy custom e TTP completi

Webworm integra i propri backdoor con un ecosistema di strumenti offensive collaudato. Per la fase di ricognizione, il gruppo usa tool open source come dirsearch e nuclei per eseguire brute-force dei path su web server delle vittime e identificare vulnerabilità sfruttabili. Sul lato infrastrutturale, Webworm ha sviluppato una suite di proxy custom: WormFrp, ChainWorm, SmuxProxy e WormSocket. Questi strumenti non si limitano a cifrare le comunicazioni: supportano il chaining su host multipli — sia interni che esterni alla rete bersaglio — permettendo la costruzione di tunnel multi-hop difficili da tracciare. Il gruppo utilizza inoltre SoftEther VPN per un ulteriore layer di offuscamento dell’infrastruttura C2.

Indicatori di compromissione (IoC)

# Webworm - EchoCreep / GraphWorm IoC (maggio 2026)
# Tool legittimi usati in contesto malevolo
TOOL: dirsearch (github.com/maurosoria/dirsearch)
TOOL: nuclei (github.com/projectdiscovery/nuclei)
# Custom proxy tools Webworm
TOOL: WormFrp
TOOL: ChainWorm
TOOL: SmuxProxy
TOOL: WormSocket
# Patterns comportamentali da monitorare
BEHAVIOR: cmd.exe spawned by non-standard parent process
BEHAVIOR: Unusual OneDrive API calls (graph.microsoft.com) with file creation in per-victim dirs
BEHAVIOR: Discord API traffic with binary/encoded payloads
BEHAVIOR: SoftEther VPN client installation/execution
# Cluster correlati
ALIAS: FishMonger / Aquatic Panda
ALIAS: SixLittleMonkeys
ALIAS: Space Pirates

Due righe per i difensori

L’abuso di servizi cloud legittimi per il C2 richiede un cambio di paradigma nel rilevamento. Il blocco a livello di dominio è inefficace — occorre spostare l’attenzione sul comportamento. I blue team dovrebbero implementare analisi comportamentale del traffico verso API cloud note, cercando pattern anomali di upload/download non correlati all’attività utente attesa. È fondamentale monitorare la creazione di directory insolite su OneDrive enterprise tramite i log di Microsoft 365 Defender e correlare gli accessi OAuth a Microsoft Graph con i baseline comportamentali degli account di servizio. Sul piano degli endpoint, qualsiasi processo che spawni cmd.exe con parent process inusuali dovrebbe attivare alert ad alta priorità. Infine, regole Sigma per i pattern di traffico Discord e Graph API anomali, combinate con threat intelligence sui cluster Webworm, permettono un rilevamento proattivo di queste campagne.

Il mondo degli smartphone Android si prepara ad accogliere un dispositivo decisamente fuori dagli schemi. Secondo le ultime indiscrezioni del leaker Digital Chat Station, Honor starebbe sviluppando una versione estrema del futuro Win 2 — l’Honor Win 2 Pro Max — con specifiche tecniche che sfidano le convenzioni del settore.

Batteria monstre e chip di nuova generazione

Il punto più clamoroso riguarda la batteria: il Win 2 Pro Max monterebbe un accumulatore da oltre 10.000mAh, una capacità rarissima anche nel mondo degli smartphone gaming. La maggior parte dei dispositivi di fascia alta si ferma a 5.000-6.000mAh, e anche i più spinti modelli gaming difficilmente superano gli 8.000mAh.

Ad alimentare il tutto ci penserà il Snapdragon 8 Elite Gen 6, il chip Qualcomm di prossima generazione, affiancato da un sistema di raffreddamento attivo con ventola. Questa combinazione posiziona il dispositivo chiaramente nel segmento dei performance phone, dove la gestione termica è critica quanto le prestazioni raw.

Più modelli in arrivo

Dalle indiscrezioni emerge che Honor starebbe pianificando una gamma Win 2 articolata su più livelli. L’originale Win 2 potrebbe diventare il modello base, con Win 2 Pro e Win 2 Pro Max a completare il lineup. Una strategia multi-model simile a quella adottata dai competitor Xiaomi, Samsung e Oppo.

Honor punta sul mercato premium

Con il Win 2 Pro Max, Honor manda un segnale chiaro: il brand vuole conquistare il segmento premium con proposte hardware aggressive. Dopo anni di presenza nel mid-range, l’azienda cinese sta accelerando verso il top di gamma. Staremo a vedere se questi numeri si tradurranno in un prodotto reale nei prossimi mesi.

Cattive notizie per chi aspettava la variante più potente della prossima ammiraglia OPPO: secondo il leaker Digital Chat Station, il piano di lancio del Find X10 Pro Max sarebbe stato rivisto. Il modello potrebbe essere posticipato o addirittura cancellato del tutto, lasciando spazio a una strategia di lineup semplificata.

Dal Pro Max all’Ultra: il cambio di strategia OPPO

L’originale piano prevedeva tre modelli: Find X10, Find X10 Pro e Find X10 Pro Max. Ora sembra che OPPO stia optando per una struttura diversa, probabilmente con un Find X10 Ultra che andrà a sostituire il ruolo del Pro Max come top assoluto della gamma. È una tendenza comune tra i brand cinesi: semplificare i lineup riducendo i modelli di fascia alta a favore di un singolo “Ultra” di riferimento.

L’Ultra con zoom da 200MP: le specifiche trapelate

Per quanto riguarda il futuro Find X10 Ultra, le indiscrezioni parlano di un sistema fotografico straordinario: un teleobiettivo periscopico con sensore da 200MP, una risoluzione senza precedenti per un obiettivo zoom su smartphone. Se confermata, questa specifica rappresenterebbe un balzo tecnologico significativo rispetto ai 50MP tipici dei competitor.

OPPO ha già dimostrato con la serie Find X di saper sfidare i limiti della fotografia mobile, e un sensore da 200MP sul teleobiettivo sarebbe coerente con questa vocazione.

Quando uscirà?

Non ci sono ancora date ufficiali per il lancio della serie Find X10. OPPO ha recentemente preso la scena con Find N5, e il ritorno sulla fascia bar-form flagship potrebbe avvenire nella seconda metà del 2025. Continuate a seguire Androidiani.net per tutti gli aggiornamenti.

Gli utenti del pieghevole di Google si trovano ad affrontare un problema serio. Numerose segnalazioni sui forum internazionali riferiscono che, dopo l’installazione degli ultimi aggiornamenti software, il display esterno del Pixel Fold smette di funzionare correttamente — andando in blackout o diventando insensibile al tocco.

I sintomi del problema

Il bug si manifesta in vari modi. I casi più comuni includono:

• Il cover display che diventa completamente nero e non si riaccende
• Il touchscreen esterno che non risponde ai tocchi
• In alcuni casi, il problema si estende anche al display interno pieghevole

Inizialmente il riavvio risolveva temporaneamente la situazione, ma dopo gli aggiornamenti più recenti la situazione è peggiorata per diversi utenti, con il problema che si ripresenta con maggiore frequenza e persistenza.

Il caso più grave: batteria scarica completamente

Uno scenario particolarmente problematico riguarda i dispositivi che hanno raggiunto lo 0% di carica. Alcuni utenti riportano che, dopo aver lasciato scaricare completamente il Pixel Fold e averlo poi ricaricato, il display esterno non si è più riattivato, rendendo il dispositivo utilizzabile solo in modalità aperta.

Soluzioni temporanee condivise dalla community

In attesa di una risposta ufficiale da parte di Google, la community ha condiviso alcune soluzioni palliative. La più segnalata è la procedura di riavvio forzato (tenendo premuto il tasto di accensione per 10-15 secondi), che in alcuni casi ripristina temporaneamente il funzionamento. Al momento Google non ha ancora rilasciato dichiarazioni ufficiali né patch correttive. Se possedete un Pixel Fold, è consigliabile evitare di lasciare la batteria scaricare completamente fino a che non sarà disponibile un fix.

Samsung Foundry sta preparando una mossa strategica di grande portata: secondo i media taiwanesi, il chairman Lee Jae-yong avrebbe effettuato una visita riservata a Taiwan per incontrare i vertici di MediaTek, attuale cliente di punta di TSMC. L’obiettivo? Convincere il produttore di chip a spostare parte della produzione verso i processi produttivi di Samsung.

MediaTek: un obiettivo strategico

MediaTek è diventato negli ultimi anni uno dei principali attori nel mercato dei SoC per smartphone Android. La serie Dimensity ha conquistato quote di mercato significative, anche nel segmento premium, sfidando direttamente Qualcomm. Il fatto che quasi tutta la produzione MediaTek sia affidata a TSMC rappresenta un punto di vulnerabilità che Samsung intende sfruttare.

Per convincere MediaTek, Samsung mette sul piatto due carte importanti: l’accesso al processo produttivo a 2nm, che promette efficienza energetica superiore, e la disponibilità di memorie ad alte prestazioni, un ambito in cui il gruppo coreano mantiene una posizione di leadership mondiale.

La sfida di Samsung Foundry

Samsung Foundry ha attraversato un periodo difficile, con alcune problematiche tecniche sui nodi produttivi avanzati che hanno spinto clienti come Qualcomm e NVIDIA a preferire TSMC. Aggiudicarsi MediaTek sarebbe un colpo di immagine notevole, oltre che un passo concreto verso la riduzione del divario con il rivale taiwanese.

Per gli utenti Android, questo scenario potrebbe tradursi in future generazioni di chip Dimensity prodotte con tecnologia Samsung, con potenziali impatti sulle prestazioni e sull’efficienza energetica dei prossimi smartphone mid-range e top di gamma.

Google ha iniziato a distribuire un nuovo tema per le icone degli smartphone Pixel: si chiama “Disco” e, come suggerisce il nome, porta sullo schermo un’estetica ispirata alle palle specchiate delle discoteche. Il risultato è vistoso, decisamente polarizzante, e già divide la community.

Cos’è il tema Disco?

Il tema Disco applica a tutte le icone delle app un effetto lucido e riflettente, con sfondo scuro e un rendering “disco ball” che fa sembrare le icone come se brillassero sotto una luce rotante. È una rottura netta con il design piatto e minimalista a cui siamo abituati su Android, e trasforma completamente l’aspetto della schermata home.

L’ispirazione viene dal trend “Discomorphism”, di cui aveva parlato Sameer Samat, responsabile della divisione Android di Google, sui social network. A quanto pare, quel riferimento non era casuale: il tema è ora realtà.

AI e icone generate: una novità Pixel

Il tema Disco si inserisce nell’ecosistema di personalizzazione avanzata che Google ha introdotto sui Pixel a partire dal Feature Drop di marzo 2026, quando è arrivata la funzione per creare icone personalizzate tramite intelligenza artificiale. Disco rappresenta una variante preconfezionata di questa visione creativa.

Come attivarlo

Per chi possiede uno smartphone Pixel, il tema Disco dovrebbe essere disponibile nelle impostazioni di personalizzazione della schermata home, nella sezione dedicata ai temi per le icone. Se non lo vedete ancora, potrebbe essere in fase di rollout graduale. Provate a cercare aggiornamenti nell’app delle impostazioni Pixel.

Una premessa prima di iniziare: se hai un iPhone con iOS inferiore a 16.7.12, aggiorna, è già tardi e un miracolo che non sia ancora successo niente di brutto.

Detto questo, per anni l’ecosistema Apple è stato raccontato come una fortezza quasi inespugnabile. “Se hai un iPhone sei al sicuro” è diventato uno dei mantra più ripetuti anche fuori dalla bolla tech. Poi arrivano casi come quello documentato da Forenser e improvvisamente quella narrativa inizia a incrinarsi. Non perché iPhone sia diventato improvvisamente insicuro, ma perché il punto debole — come spesso accade — non è il dispositivo in sé. È la catena completa: notifiche, sessioni, social engineering, bug, sincronizzazioni cloud e fiducia implicita dell’utente.

La ricerca pubblicata da Forenser fotografa infatti una serie di compromissioni WhatsApp osservate su dispositivi Apple rimasti fermi a iOS 16 (specificatamente sotto il famoso aggiornamento alla 16.7.12). Non si parla di semplici tentativi di phishing “artigianali”, ma di account effettivamente presi in controllo, con accessi alle chat e utilizzo dell’identità digitale delle vittime per colpire ulteriori contatti.

Le vittime, infatti, non riportano comportamenti compatibili con il classico phishing. Nessun link cliccato volontariamente, nessuna installazione di applicazioni sospette, nessun QR code scansionato deliberatamente, nessuna richiesta di OTP condivisi. Eppure gli account risultano violati.

È questo il dettaglio che ha acceso l’interesse della comunità forense.

Secondo quanto riportato nell’analisi di Forenser, gli utenti colpiti avrebbero ricevuto messaggi specifici poco prima della compromissione. Messaggi che, in alcuni casi, sembrano avere un comportamento anomalo lato client. La ricostruzione tecnica suggerisce che il vettore d’attacco possa sfruttare una vulnerabilità legata alla gestione dei contenuti ricevuti da WhatsApp su iOS 16, permettendo l’esecuzione di operazioni malevole senza necessità di interazione diretta dell’utente.

In altre parole: il semplice ricevere il messaggio potrebbe essere sufficiente ad attivare la catena di compromissione.

È questo il vero significato di 0-click. Nessun tap. Nessun consenso. Nessun comportamento “sbagliato” da parte della vittima.

Nel mondo mobile moderno, questo tipo di attacco rappresenta uno degli scenari più pericolosi in assoluto, perché elimina completamente il principale livello difensivo su cui si basa gran parte della sicurezza consumer: l’utente stesso. Le campagne di phishing tradizionali funzionano solo se qualcuno sbaglia. Gli exploit 0-click invece trasformano il dispositivo in un bersaglio passivo.

La ricerca di Forenser suggerisce inoltre un elemento fondamentale: il problema sembrerebbe concentrarsi su device ancora fermi a certe release superate di iOS 16. Questo potrebbe indicare la presenza di vulnerabilità già corrette nelle versioni successive di iOS, ma ancora sfruttabili sui terminali non aggiornati. Ed è qui che emerge uno dei problemi più sottovalutati dell’ecosistema Apple: l’idea che “se hai un iPhone allora sei automaticamente al sicuro”.

In realtà il modello di sicurezza Apple funziona in maniera estremamente efficace proprio grazie agli aggiornamenti continui. Restare bloccati su una major release precedente significa esporsi progressivamente a vulnerabilità già note, studiate e potenzialmente weaponizzate.

Dal punto di vista operativo, un attacco del genere è devastante perché estremamente difficile da rilevare. Non lascia i classici indicatori di compromissione associati al malware tradizionale. Non rallenta necessariamente il dispositivo. Non mostra finestre sospette. Non installa applicazioni visibili. Tutto avviene all’interno di una superficie software considerata “trusted”: l’app di messaggistica stessa.

E WhatsApp rappresenta un bersaglio ideale.

Dentro quell’applicazione oggi transitano conversazioni personali, documenti, codici OTP, messaggi vocali, relazioni professionali e spesso persino elementi di autenticazione indiretta per servizi bancari o aziendali. Compromettere WhatsApp non significa più soltanto leggere chat private: significa ottenere accesso a una porzione enorme dell’identità digitale della vittima.

L’aspetto forse più interessante dell’indagine di Forenser è che porta l’attenzione su una categoria di minacce spesso percepite come lontane dal mondo reale. Quando si parla di exploit 0-click si pensa immediatamente ad attori statali, intelligence offensive e spyware da milioni di euro. Ma la linea che separa il cyberespionage dal cybercrime si sta assottigliando sempre di più. Tecniche un tempo esclusive delle operazioni governative iniziano lentamente a comparire anche in scenari meno sofisticati.

Ed è esattamente questo a rendere il caso così importante.

Perché al netto dei dettagli tecnici ancora da chiarire completamente, la ricerca di Forenser mostra un cambiamento preciso nel panorama delle minacce mobile: gli smartphone non vengono più attaccati soltanto inducendo l’utente a commettere errori. Sempre più spesso, basta semplicemente raggiungerli.

Cos’è l’Hotpatching e perché cambia tutto

Ogni amministratore di sistema conosce bene il problema: arriva il patch Tuesday, si pianifica una finestra di manutenzione, si notificano gli utenti, si aspetta il riavvio e si incrocia le dita sperando che tutto torni su senza intoppi. Con Windows Server 2025 e l’hotpatching abilitato da Azure Arc, questo ciclo faticoso si riduce drasticamente. E da maggio 2026, questa funzionalità è completamente gratuita per tutti i server Arc-enabled.

L’hotpatching consente di applicare aggiornamenti di sicurezza al sistema operativo senza riavviare il server nella maggior parte dei mesi. Microsoft ha annunciato che dal 15 maggio 2026 tutta la fatturazione per l’hotpatch è stata interrotta per i server Windows Server 2025 Standard e Datacenter connessi ad Azure Arc. Non sono più previsti costi per core, tariffe orarie o voci separate in fattura.

Come funziona il ciclo di aggiornamento

L’hotpatching non elimina completamente i riavvii, ma li riduce sensibilmente. Il ciclo funziona su base trimestrale:

• Mese baseline (1 riavvio ogni 3 mesi): viene installato un aggiornamento cumulativo completo che richiede un riavvio. Questo aggiornamento “alza l’asticella” del sistema per i mesi successivi.
• Mesi hotpatch (i 2 mesi successivi): vengono distribuiti solo gli aggiornamenti di sicurezza incrementali, applicati in-memory senza riavvio.

In un anno solare si ottengono fino a 8 aggiornamenti mensili senza riavvio e soli 4 riavvii baseline pianificabili. Per ambienti di produzione ad alta disponibilità, è una differenza sostanziale.

Prerequisiti tecnici

Prima di abilitare l’hotpatching, verificare che il server soddisfi i requisiti seguenti:

• Windows Server 2025 Standard o Datacenter (build 26100.1742 o successiva). Le build di anteprima non sono supportate.
• Il server deve essere connesso ad Azure Arc tramite il Connected Machine Agent.
• La macchina deve supportare la Virtualization-Based Security (VBS): firmware UEFI con Secure Boot abilitato. Per le VM Hyper-V, è richiesta una macchina virtuale di Generazione 2.
• Una subscription Azure attiva (esiste un tier gratuito per iniziare).

Nota: Windows Server 2025 Datacenter: Azure Edition ha l’hotpatching abilitato per impostazione predefinita e non richiede Azure Arc.

Verifica e abilitazione di Virtual Secure Mode (VBS)

Quando si abilita l’hotpatch dal portale Azure, il sistema verifica automaticamente se la Virtual Secure Mode (VSM) è attiva. Se non lo è, l’operazione fallisce con un errore. È conveniente verificare prima manualmente.

Verifica dello stato VSM con PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' `
    -ClassName 'win32_deviceGuard' | `
    Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Abilitazione di VSM tramite registro di sistema

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' `
    -Name 'EnableVirtualizationBasedSecurity' `
    -PropertyType 'Dword' `
    -Value 1 -Force

In alternativa, VSM viene abilitato automaticamente configurando funzionalità come Credential Guard, Hypervisor-Protected Code Integrity (HVCI) o Secured-core server. Se il proprio ambiente utilizza già una di queste feature, VSM è probabilmente già attivo.

Connessione ad Azure Arc

Se il server non è ancora connesso ad Azure Arc, il modo più rapido per un singolo server è scaricare ed eseguire lo script di onboarding dal portale Azure:

1. Aprire il portale Azure e cercare Azure Arc → Machines.
2. Cliccare su Add/Create → Add a machine.
3. Selezionare Add a single server e seguire la procedura guidata.
4. Scaricare ed eseguire lo script PowerShell generato sul server target.

Per un deployment su scala (decine o centinaia di server), Azure Arc supporta l’installazione tramite Group Policy, service principal, Terraform o Configuration Manager. Il Connected Machine Agent è leggero e ha un impatto minimo sulle risorse del sistema.

Abilitazione dell’Hotpatch dal portale Azure

Una volta che il server è connesso ad Azure Arc e VSM è attivo, abilitare l’hotpatch richiede pochi click:

1. Nel portale Azure, navigare su Azure Arc → Machines.
2. Selezionare il nome del server target.
3. Nel pannello laterale, fare clic su Hotpatch.
4. Cliccare su Confirm.
5. Attendere circa 10 minuti per la propagazione delle modifiche.

Se lo stato rimane bloccato su Pending, verificare la connettività verso gli endpoint Azure Arc e controllare i log dell’agente in C:\ProgramData\AzureConnectedMachineAgent\Logs.

Automazione con Azure Update Manager

Per gestire l’hotpatching su scala, Azure Update Manager (AUM) è lo strumento consigliato. Permette di:

• Definire maintenance windows per controllare quando vengono applicati gli aggiornamenti baseline (quelli che richiedono il riavvio).
• Configurare update policies per applicare automaticamente gli hotpatch nei mesi non-baseline.
• Monitorare lo stato di conformità di tutti i server Arc da un’unica dashboard.
• Integrare con Azure Monitor per alert e reportistica.

Con AUM è possibile impostare una finestra di manutenzione mensile di 30 minuti per i riavvii baseline, sapendo che nei due mesi successivi nessun riavvio sarà necessario per gli aggiornamenti di sicurezza. Una politica ragionevole è schedulare i riavvii baseline nella notte del secondo mercoledì del mese baseline, allineandosi al ciclo Patch Tuesday di Microsoft.

Script PowerShell per il troubleshooting dell’agente Arc

Se dopo l’abilitazione l’hotpatch non si attiva correttamente, questo script PowerShell aiuta a diagnosticare i problemi più comuni:

# Verifica stato agente Azure Arc
$svc = Get-Service -Name "himds" -ErrorAction SilentlyContinue
if ($svc) {
    Write-Host "Azure Connected Machine Agent: $($svc.Status)"
} else {
    Write-Host "ERRORE: servizio HIMDS non trovato. Arc non e' installato."
}

# Verifica VBS
$vbs = Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' `
    -ClassName 'win32_deviceGuard' | `
    Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Write-Host "VBS Status: $vbs (2 = attivo, 0/1 = non attivo)"

# Verifica Secure Boot
$sb = Confirm-SecureBootUEFI -ErrorAction SilentlyContinue
Write-Host "Secure Boot abilitato: $sb"

# Log agente Arc (ultimi 50 errori)
$logPath = "C:\ProgramData\AzureConnectedMachineAgent\Logs"
if (Test-Path $logPath) {
    Get-ChildItem $logPath -Filter "*.log" | 
        Sort-Object LastWriteTime -Descending | 
        Select-Object -First 1 | 
        Get-Content | Select-String "ERROR","WARN" | 
        Select-Object -Last 50
}

Considerazioni finali

Il passaggio dell’hotpatching a servizio gratuito rappresenta un cambiamento significativo nella gestione delle patch per Windows Server. Prima era necessario scegliere tra la semplicità operativa (nessun riavvio) e il costo aggiuntivo ($1.50 USD per core al mese, introdotto a luglio 2025). Ora quella scelta non esiste più.

Per chi gestisce ambienti Windows Server 2025 ibridi o on-premises, il percorso consigliato è: verificare i prerequisiti hardware (UEFI + Secure Boot), connettere i server ad Azure Arc, abilitare l’hotpatch dal portale e configurare Azure Update Manager per le finestre di manutenzione baseline. Il risultato pratico: meno riavvii, meno downtime, meno stress per il team IT — senza costi aggiuntivi.

Fonte originale: 4sysops — Free Windows Server 2025 hotpatching with Azure Arc. Documentazione ufficiale: Microsoft Learn — Enable Hotpatch for Azure Arc-enabled servers. Annuncio Microsoft: Microsoft Tech Community.

Brutte notizie per chi possiede un Chromecast: Google ha silenziosamente aggiornato le proprie pagine di supporto, rivelando che la grande maggioranza dei dispositivi Chromecast non riceverà più aggiornamenti di sicurezza. L’unico modello ancora supportato è il Chromecast with Google TV HD del 2022, garantito fino al 2027.

Quali Chromecast non ricevono più aggiornamenti?

L’elenco dei modelli ora fuori supporto per gli aggiornamenti di sicurezza è lungo e include dispositivi ancora molto diffusi:

• Chromecast with Google TV 4K
• Chromecast Ultra
• Chromecast Audio
• Chromecast 1ª generazione
• Chromecast 2ª generazione
• Chromecast 3ª generazione

La notizia è stata scoperta da utenti Reddit che hanno notato i cambiamenti nelle pagine ufficiali di Google, che non ha fatto alcun annuncio pubblico al riguardo.

Cosa fare adesso?

I dispositivi fuori supporto continueranno probabilmente a funzionare per lo streaming, ma non riceveranno più patch di sicurezza — una situazione che può esporre gli utenti a rischi nel lungo periodo. Chi desidera rimanere protetto dovrà valutare l’aggiornamento al Chromecast with Google TV HD, oppure considerare alternative come i dongle Fire TV di Amazon o Google TV Streamer.

È la fine di un’era per Chromecast, uno dei prodotti che ha definito il concetto di streaming domestico a basso costo. Google sembra orientarsi verso soluzioni più avanzate e integrate con il proprio ecosistema Google TV.

Il lancio europeo di Sony Xperia 1 VIII è ancora lontano — la data prevista è il 26 giugno — ma uno dei modelli più ambiti è già introvabile. La configurazione da 1TB in colorazione Gold risulta sold out sugli store ufficiali Sony di almeno cinque paesi europei, un evento senza precedenti per la linea Xperia.

Dove è già esaurito?

La carenza colpisce contemporaneamente diversi mercati europei. Sul Sony Store ufficiale, il modello da 1TB Gold risulta “OUT OF STOCK” o non ordinabile in:

• Regno Unito
• Francia
• Germania
• Spagna
• Polonia
• Paesi Bassi

Un’ondata di interesse così ampia e simultanea è rarissima per Xperia, brand che pur rispettato dagli appassionati non raggiunge normalmente i livelli di sell-out dei competitor più mainstream.

La prima volta di Xperia con 1TB

La spiegazione di questo entusiasmo è probabilmente nella novità assoluta: Xperia 1 VIII è il primo smartphone della serie a offrire 1TB di storage interno, una capacità che risponde alle esigenze dei fotografi e dei videomaker professionisti per cui Xperia è pensato. Chi vuole girare video in formato non compresso o conservare migliaia di RAW senza pensieri ha finalmente una soluzione nativa.

Cosa aspettarsi da Xperia 1 VIII

Oltre allo storage record, Xperia 1 VIII porta con sé il meglio dell’ingegneria Sony: display OLED 4K a 120Hz, sistema fotografico con ottiche Zeiss, processore di punta e le esclusive funzioni Pro di scatto e video. Se siete interessati al modello italiano, vi consigliamo di monitorare presto i canali di preordine per non restare a mani vuote.

Xiaomi ha già annunciato un evento di presentazione per il 28 maggio, ma la data ufficiale di lancio dei nuovi Xiaomi 17T e 17T Pro era rimasta avvolta nel mistero. Ora, grazie a un’immagine promozionale pubblicata per errore dallo store ufficiale Xiaomi su Rakuten, sappiamo che i due smartphone arriveranno in Giappone il 4 giugno 2025.

Due modelli confermati con fotocamera co-progettata da Leica

Dalle immagini trapelate emergono dettagli molto interessanti. Xiaomi porterà sul mercato sia il modello base Xiaomi 17T che la versione Xiaomi 17T Pro. Entrambi i dispositivi sfoggeranno il logo “CO-ENGINEERED WITH Leica”, confermando la collaborazione con il celebre marchio tedesco di ottica anche per questa generazione.

Calendario di lancio e preordini

Stando alle informazioni fuoriuscite dallo store Rakuten, il programma di lancio sarà il seguente:

• 28 maggio — Apertura dei preordini alle ore 22:00 (ora giapponese)
• 4 giugno — Disponibilità ufficiale nei negozi

Bonus acquisto e promozioni

Le immagini promozionali anticipano anche la presenza di ricchi incentivi all’acquisto, sebbene i dettagli specifici dei bundle non siano ancora stati resi noti ufficialmente. Xiaomi punta chiaramente a fare un lancio di grande impatto, con un evento il 28 maggio che svelerà tutti i dettagli su specifiche, prezzi e offerte disponibili.

La serie Xiaomi 17T si candida quindi a essere uno dei lanci Android più attesi della prima metà del 2025. Restate sintonizzati su Androidiani.net per tutti i dettagli non appena saranno disponibili.

Motorola si prepara ad ampliare la famiglia Edge 70 con un inedito modello di punta: l’Edge 70 Pro+. Prima ancora della presentazione ufficiale, il sito indiano di Motorola ha pubblicato per errore alcune informazioni dettagliate, rivelando la scheda tecnica del dispositivo e confermando un salto qualitativo significativo rispetto all’Edge 70 Pro.

Tripla fotocamera con periscopio da 50MP

Il protagonista assoluto dell’Edge 70 Pro+ è il comparto fotografico. Il dispositivo monterà un sistema a tre obiettivi, con il sensore principale da 50MP Sony LYT-710 abbinato a stabilizzazione ottica OIS. La vera novità, però, è il teleobiettivo periscopico da 50MP con zoom ottico 3,5x, una configurazione insolita per un dispositivo di questa fascia e che promette prestazioni fotografiche a lungo raggio decisamente superiori al predecessore.

Motorola ha anche in programma una funzione Super Zoom Pro con zoom digitale fino a 50x, per chi vuole spingere al massimo le capacità di ingrandimento dello smartphone.

Design e varianti di colore

Dal sito trapelano anche informazioni sul design: l’Edge 70 Pro+ sarà disponibile in più colorazioni, con un’estetica che segue le linee già viste nella gamma Edge 70. Il modello si posizionerà come il vertice della famiglia, sopra all’attuale Edge 70 Pro.

Quando arriverà?

Non ci sono ancora date ufficiali per la presentazione, ma considerando che le informazioni sono già comparse sul sito ufficiale indiano, l’annuncio dovrebbe essere imminente. Motorola punta chiaramente al mercato indiano come lancio primario, con un’eventuale espansione globale successiva. Continuate a seguire Androidiani.net per gli aggiornamenti.

Un curioso caso di errore di prezzo sta facendo discutere in Giappone: il POCO F7 è apparso nella campagna “Rakuten DEAL” con un prezzo che ha fatto sobbalzare gli utenti. A prima vista il costo sembrava di circa 36.498 yen — un’ottima offerta per questo smartphone — ma osservando meglio si scopre che il prezzo reale indicato è in realtà 364.980 yen, ovvero dieci volte tanto.

Un errore da non commettere

Il problema nasce da un presumibile errore tipografico: un zero di troppo trasforma quella che dovrebbe essere un’offerta conveniente in un acquisto potenzialmente disastroso. Chi avesse aggiunto il prodotto al carrello senza fare attenzione avrebbe rischiato di pagare quasi 400.000 yen per uno smartphone che normalmente costa circa 54.980 yen.

Qual è il vero prezzo scontato?

Se la cifra corretta fosse davvero 36.498 yen, si tratterebbe di uno sconto di circa il 34% rispetto al prezzo di listino di 54.980 yen — sicuramente un’offerta interessante per il POCO F7, che si è dimostrato uno degli smartphone più competitivi del segmento mid-range/performance nel 2025.

POCO F7: vale la pena?

Al di là dell’incidente promozionale, il POCO F7 rimane uno dei dispositivi Android più apprezzati per chi cerca alte prestazioni a un prezzo contenuto. Equipaggiato con hardware di fascia alta e ottimizzazioni software MIUI/HyperOS, è una scelta solida per gli utenti esigenti con budget limitato. L’importante è controllare bene il prezzo finale prima di cliccare su “Acquista”!

Un avvertimento insolito arriva direttamente dall’amministratore delegato di Xiaomi. Lei Jun, CEO del colosso cinese, ha lanciato un messaggio agli utenti in occasione della presentazione dello Xiaomi 17 Max: i prezzi degli smartphone sono destinati a crescere ancora, e rimandare l’acquisto potrebbe rivelarsi controproducente.

Il problema: i prezzi della memoria volano

La causa principale di questo scenario è il drastico aumento dei costi delle memorie RAM e di archiviazione. Xiaomi era già stata tra le prime aziende a segnalare questo rischio lo scorso anno, e ora la tendenza si sta confermando con forza. Secondo Lei Jun, il trend al rialzo potrebbe persistere per almeno altri due anni, influenzando in modo diretto i prezzi finali degli smartphone.

Il problema è strutturale: i dispositivi moderni integrano sempre più RAM (16GB è ormai lo standard sui flagship) e storage sempre più capiente (1TB non è più una rarità), mentre le funzioni di intelligenza artificiale richiedono componenti ancora più performanti e costosi.

Una tendenza globale

Non è solo Xiaomi a soffrire di questo fenomeno: l’intera industria degli smartphone sta risentendo dell’aumento dei costi dei componenti. In Cina, i prezzi dei flagship sono già cresciuti sensibilmente negli ultimi mesi, e le ripercussioni si faranno sentire anche sui mercati europei e italiani nel corso del 2025 e del 2026.

Cosa significa per noi consumatori?

Il messaggio di Lei Jun è chiaro: chi sta pensando di cambiare smartphone farebbe meglio ad agire prima piuttosto che dopo. I modelli attuali, pur già a prezzi elevati, potrebbero risultare più convenienti rispetto alle future generazioni. Un consiglio insolito da parte di un CEO, ma che riflette una preoccupazione reale del settore.

PureOS è una distribuzione GNU/Linux basata su Debian, sviluppata da Purism, azienda nota per la produzione di dispositivi progettati per garantire la massima tutela della privacy. Tra questi rientrano lo smartphone Liberty Phone, il...

🔗 Leggi il post completo

La libreria vkd3d è un progetto fondamentale dell’ecosistema Wine, il noto livello di compatibilità che consente di eseguire applicazioni e giochi sviluppati per Windows su sistemi Unix‑like come GNU/Linux, macOS e BSD. Il suo compito principale è tradurre le chiamate grafiche di Direct3D 12, l’API (Application Programming...

🔗 Leggi il post completo

I ricercatori di Lumen Technologies Black Lotus Labs hanno pubblicato il 21 maggio 2026 un’analisi dettagliata di due nuovi strumenti malevoli — Showboat (Linux) e JFMBackdoor (Windows) — impiegati in campagne di cyberspionaggio attribuite con moderata confidenza al gruppo cinese Calypso, noto anche come Red Lamassu. I bersagli: operatori di telecomunicazioni nel Medio Oriente, nell’Asia Pacifica e, più recentemente, entità negli Stati Uniti e in Ucraina.

Chi è Calypso / Red Lamassu

Calypso è un gruppo APT di matrice cinese attivo almeno dal 2018, storicamente orientato allo spionaggio su governi, settore energetico e telecomunicazioni in Asia Centrale e Medio Oriente. Il gruppo condivide infrastrutture e tooling con altri cluster affiliati alla Cina, in linea con il modello del cosiddetto digital quartermaster: una struttura centralizzata che rifornisce più gruppi APT di strumenti comuni come PlugX, ShadowPad e, ora, Showboat. Questa logica di condivisione complica l’attribuzione e amplifica la portata operativa.

Showboat: un framework post-exploitation modulare per Linux

Il punto di partenza dell’indagine è stato un binario ELF caricato su VirusTotal nel maggio 2025, inizialmente classificato come backdoor Linux sofisticato con capacità rootkit (Kaspersky lo traccia come EvaRAT). Showboat è progettato per sistemi Linux con un insieme di capacità modulari orientate alla persistenza silenziosa e al movimento laterale: shell remota per l’esecuzione di comandi arbitrari, trasferimento file bidirezionale, proxy SOCKS5 per il tunneling verso sistemi interni non esposti su internet, raccolta di informazioni di sistema, nascondimento dei processi dalla lista dei processi attivi, e recupero di payload da Pastebin (paste creato l’11 gennaio 2022) — tecnica che frammenta la kill chain su piattaforme legittime per eludere il rilevamento.

Il malware comunica con il server C2 trasmettendo informazioni di sistema in un campo PNG come stringa cifrata in Base64. La funzione proxy SOCKS5 è particolarmente significativa: consente agli attaccanti di interagire con macchine raggiungibili solo via LAN, espandendo silenziosamente il perimetro di compromissione verso asset interni critici.

JFMBackdoor: un impianto Windows a pieno spettro

A fianco di Showboat, i ricercatori hanno identificato JFMBackdoor, un impianto Windows distribuito tramite DLL side-loading. Si tratta di un RAT completo con accesso shell remoto, operazioni su file (upload, download, eliminazione), network proxying, cattura di screenshot e auto-rimozione (self-removal) per cancellare le tracce post-operazione. Il vettore DLL side-loading è un classico dei toolkit cinesi: consente di agganciare un processo legittimo per l’esecuzione del codice malevolo, riducendo la visibilità per le soluzioni EDR.

Vittime identificate e infrastruttura C2

L’analisi infrastrutturale ha rilevato le seguenti compromissioni: un provider di telecomunicazioni nel Medio Oriente (vittima principale, bersagliata almeno dal 2022), un ISP in Afghanistan, un’entità in Azerbaigian, due possibili compromissioni negli Stati Uniti e una in Ucraina, identificate tramite un cluster C2 secondario che condivide certificati X.509 con quello primario.

I nodi C2 mostrano correlazioni geografiche con indirizzi IP geolocalizzati a Chengdu, capoluogo della provincia del Sichuan — area già associata ad operazioni APT cinesi come quelle di APT41. La presenza di infrastruttura condivisa con altri cluster cinesi, tramite certificati e pattern C2 analoghi, rinforza l’ipotesi del digital quartermaster. Il gruppo ha registrato domini tematici che impersonano operatori telecom per rendere il traffico C2 meno sospetto.

Perché le telco sono obiettivi privilegiati dello spionaggio cinese

Le infrastrutture di telecomunicazione rappresentano un obiettivo di primaria importanza per le operazioni di intelligence offensiva. Il controllo, anche parziale, di un operatore telecom offre accesso a metadati di traffico, possibilità di intercettazioni mirate, informazioni su clienti governativi e aziendali, e capacità di prepararsi per operazioni disruptive in scenari di escalation geopolitica. Non è un caso che Showboat sia progettato specificatamente per Linux: i sistemi basati su questo OS costituiscono il backbone infrastrutturale della maggior parte delle telco mondiali. La funzione SOCKS5 rispecchia un obiettivo preciso: muoversi lateralmente e silenziosamente all’interno di reti segmentate, raggiungendo asset normalmente inaccessibili dall’esterno.

Indicatori di compromissione (IoC)

# Showboat - ELF binary (VirusTotal, maggio 2025)
SHA256: d6a4fad5448838dbc8cc6b33f1dbfbdc7a2fad36de58ff6a66dce96f729f7011
# Kaspersky classification: EvaRAT
# C2 infrastructure: IP geolocati a Chengdu (Sichuan, CN)
# Certificati X.509 condivisi tra cluster C2 primario e secondario
# Domini: pattern telecom-themed (impersonazione operatori target)
# Pastebin paste ID: creato 2022-01-11 (autoconcealment snippet)

Due righe per i difensori

Per le organizzazioni del settore telecomunicazioni e infrastrutture critiche, i ricercatori di Black Lotus Labs raccomandano: monitorare il traffico in uscita verso Pastebin e piattaforme di condivisione testo per rilevare scaricamenti di payload; analizzare le connessioni SOCKS5 anomale verso host interni non esposti; verificare l’integrità dei processi su sistemi Linux alla ricerca di tecniche di process hiding; implementare threat hunting specifico per DLL side-loading su endpoint Windows; correlare i certificati X.509 dei server C2 con quelli osservati da Black Lotus Labs. Come ha sottolineato il ricercatore Danny Adamitis: “La presenza di tali minacce dovrebbe essere interpretata come un segnale d’allarme precoce, indicativo di problemi di sicurezza potenzialmente più gravi e diffusi all’interno delle reti compromesse.”

MIM 2016 SP3: finalmente disponibile, con un percorso travagliato

Microsoft Identity Manager (MIM) 2016 Service Pack 3 è diventato generalmente disponibile il 14 maggio 2026, dopo una storia piuttosto movimentata: una prima versione era stata rilasciata a fine marzo 2026 ma Microsoft l’aveva silenziosa ritirata senza spiegazioni pubbliche. SP3 si posiziona come un aggiornamento di compatibilità di piattaforma più che una rivisitazione architetturale del prodotto, ma include alcune novità tecnicamente significative per gli scenari ibridi e cloud.

Per chi gestisce ambienti enterprise con Active Directory e sincronizzazione delle identità, MIM rimane un componente critico in molte organizzazioni. Con l’estensione del supporto fino al 9 gennaio 2029 (la data originale era gennaio 2026), Microsoft ha chiarito che il prodotto ha ancora vita davanti a sé, almeno come soluzione di transizione verso Entra ID Governance.

Principali aggiornamenti di compatibilità di piattaforma

SP3 estende la compatibilità ufficiale con le versioni più recenti degli stack Microsoft on-premise e cloud. I componenti aggiornati includono:

• SQL Server 2022 — supporto completo per il database di MIM Service e MIM Synchronization Service
• SharePoint Server Subscription Edition (SE) — il portale MIM può essere ospitato su SharePoint SE
• Exchange Server Subscription Edition (SE) — supporto per la gestione delle cassette postali Exchange tramite MIM
• System Center Service Manager DW 2022 — compatibilità aggiornata per gli scenari di data warehouse
• Windows Server 2025 — supporto per il sistema operativo host aggiornato

Questi aggiornamenti sono fondamentali per le organizzazioni che hanno già migrato i propri server on-premise alle versioni più recenti e si trovavano a gestire MIM su stack non ufficialmente supportati, una situazione rischiosa dal punto di vista del supporto Microsoft.

Azure SQL Database per MIM Synchronization: la novità più rilevante

La novità tecnicamente più interessante di SP3 è il supporto nativo per Azure SQL Database come backend del MIM Synchronization Service, con autenticazione tramite managed identity. Questa funzionalità apre un nuovo scenario di deployment ibrido dove il motore di sincronizzazione di MIM può connettersi a un database gestito nel cloud senza dover gestire credenziali SQL esplicite in chiaro.

System-assigned vs User-assigned Managed Identity

SP3 supporta entrambe le varianti di managed identity per l’autenticazione verso Azure SQL:

• System-assigned managed identity — legata al ciclo di vita del server MIM Sync, viene creata e dismessa automaticamente con la macchina virtuale. Più semplice da configurare, ma meno flessibile in scenari di disaster recovery o migrazione del server.
• User-assigned managed identity — un’identità indipendente che può essere assegnata a più risorse e sopravvive alla VM. Preferita negli ambienti enterprise per la flessibilità e la possibilità di condividere le autorizzazioni tra più istanze server.

In entrambi i casi, la managed identity deve essere configurata come External provider nel database Azure SQL e deve avere il ruolo db_owner (o i permessi minimi necessari) sullo schema MIM. La configurazione lato MIM avviene nel file di configurazione del Synchronization Service, specificando il tipo di autenticazione ActiveDirectoryManagedIdentity nella stringa di connessione.

Considerazioni pratiche sul deployment

Portare il database di MIM Sync su Azure SQL offre vantaggi concreti: alta disponibilità integrata, backup automatici, scaling elastico e riduzione del carico operativo sulla DBA. Tuttavia, le latenze di rete tra il server MIM Sync on-premise e Azure SQL devono essere valutate con attenzione. Cicli di sincronizzazione su connector con milioni di oggetti — come un Full Import su Active Directory con 200.000+ account — potrebbero risentire della latenza aggiuntiva rispetto a un SQL Server locale.

È consigliabile testare questa configurazione in ambiente di staging misurando i tempi dei management agent profile più pesanti (Full Import, Full Sync) prima di portarla in produzione.

AD FS SSO per il portale MIM: claims-based authentication

SP3 introduce il supporto per Active Directory Federation Services (AD FS) con autenticazione SSO basata su claims per il portale MIM. In precedenza, il portale si basava esclusivamente sull’autenticazione Windows integrata (Kerberos/NTLM). Con SP3, gli utenti possono autenticarsi al portale tramite AD FS, il che apre alcune possibilità interessanti:

• Supporto per scenari in cui i client non sono domain-joined (utenti che accedono dall’esterno tramite Web Application Proxy)
• Possibilità di applicare policy di autenticazione più granulari tramite AD FS, inclusi MFA e device compliance
• Percorso di transizione verso Entra ID per organizzazioni che già federano le identità tramite AD FS

La configurazione richiede la registrazione del portale MIM come Relying Party Trust in AD FS e la corretta configurazione delle claim rules per mappare gli attributi utente alle autorizzazioni MIM. Microsoft ha aggiornato la documentazione ufficiale su Microsoft Learn con le istruzioni dettagliate per questo scenario.

Estensione del supporto: una boccata d’aria per i team IT

Forse la notizia più impattante per molte organizzazioni non è tecnica, ma temporale. La data di fine supporto di MIM 2016 è stata estesa dal 13 gennaio 2026 al 9 gennaio 2029 — tre anni in più. Per i team IT che stavano affrontando una corsa contro il tempo per migrare a Entra ID Governance, questa estensione offre una finestra più ampia per pianificare la transizione con la dovuta attenzione.

È comunque importante non interpretare questa estensione come un segnale che MIM riceverà nuove funzionalità significative. Microsoft è chiara: il percorso raccomandato per la gestione del ciclo di vita delle identità punta a Microsoft Entra ID Governance. MIM è in maintenance mode.

Come pianificare l’upgrade a SP3

Per chi gestisce MIM 2016, ecco i passi raccomandati:

1. Verifica la versione corrente — la build di SP3 è 4.7.6.0. Controlla la versione installata tramite Programmi e Funzionalità o il registro di sistema.
2. Consulta la matrice di compatibilità ufficiale su Microsoft Learn per identificare eventuali combinazioni di piattaforma non più supportate.
3. Testa in staging prima della produzione, verificando la compatibilità con management agent personalizzati e regole di sincronizzazione custom.
4. Valuta Azure SQL con managed identity se vuoi ridurre il debito operativo del database on-premise.
5. Pianifica la migrazione a lungo termine verso Entra ID Governance, usando questo upgrade come occasione per documentare i processi attuali.

Conclusione

MIM 2016 SP3 è un aggiornamento pragmatico e necessario per le organizzazioni enterprise che ancora dipendono da questo strumento. L’aggiunta del supporto per Azure SQL con managed identity è la novità più rilevante dal punto di vista architetturale, mentre il supporto AD FS SSO colma una lacuna significativa per i deployment con accesso esterno al portale. L’estensione del supporto al 2029 completa il quadro, dando ai team IT il tempo necessario per una migrazione pianificata e non forzata verso le soluzioni cloud-native di Microsoft.

Fonti: 4sysops — MIM 2016 SP3 | Microsoft Learn — MIM 2016 news and updates | Identity Manager version history

Le dimissioni di Tulsi Gabbard dalla guida dell’intelligence americana non sono più soltanto indiscrezioni filtrate da ambienti politici di Washington. Dopo ore di speculazioni, la conferma è arrivata direttamente tramite Fox News e successive dichiarazioni ufficiali della Casa Bianca: Gabbard lascerà il ruolo di Director of National Intelligence il 30 giugno 2026.

Nella lettera inviata al presidente Donald Trump, Gabbard ha motivato la decisione con il peggioramento delle condizioni di salute del marito, Abraham Williams, recentemente diagnosticato con una rara forma di tumore osseo. La direttrice dell’intelligence ha scritto di non poter “in coscienza” lasciarlo affrontare da solo la malattia mentre continua a ricoprire un incarico tanto invasivo e operativo.

Formalmente, quindi, la narrativa ufficiale parla di una scelta personale e familiare. Ma le fonti interne all’amministrazione raccontano uno scenario molto più complesso. Diversi insider citati dalla stampa americana sostengono infatti che Gabbard fosse ormai considerata politicamente isolata all’interno dell’apparato Trump e che la Casa Bianca stesse già valutando da tempo una sua sostituzione.

Secondo le ricostruzioni emerse nelle ultime settimane, il rapporto con Trump si sarebbe deteriorato progressivamente dopo una serie di contrasti su Iran, operazioni di sicurezza nazionale e gestione delle valutazioni intelligence. Uno degli episodi più delicati riguarda proprio le analisi sull’Iran: Gabbard aveva dichiarato davanti al Senato che non esistevano prove concrete di una ripresa del programma nucleare iraniano, entrando indirettamente in collisione con la linea più aggressiva sostenuta dall’amministrazione.

Da quel momento, il suo peso operativo sarebbe diminuito rapidamente. Secondo varie fonti, Gabbard sarebbe stata esclusa da alcuni briefing strategici sensibili e marginalizzata nelle decisioni relative alle operazioni internazionali. Parallelamente, all’interno della Casa Bianca cresceva la convinzione che il DNI non fosse più pienamente allineato alla postura politica dell’amministrazione Trump.

La dinamica con cui la notizia è emersa è particolarmente significativa. Prima ancora dell’annuncio ufficiale, numerosi leak avevano iniziato a circolare verso media statunitensi vicini agli ambienti governativi, descrivendo Gabbard come una figura in uscita già da settimane. In ambienti intelligence questo tipo di comunicazione viene spesso interpretato come una pressione politica indiretta: rendere pubblica una possibile sostituzione serve a indebolire ulteriormente il funzionario interessato e preparare il terreno alla transizione.

Trump ha pubblicamente elogiato il lavoro di Gabbard, definendola una figura che ha svolto “un grande lavoro” alla guida dell’intelligence americana, ma contemporaneamente ha annunciato immediatamente il nome del sostituto ad interim: Aaron Lukas.

Ed è proprio questo passaggio a essere particolarmente rilevante per chi osserva il settore intelligence e cybersecurity. Aaron Lukas non arriva dall’esterno ma dall’apparato interno dell’ODNI, dove ricopriva il ruolo di Principal Deputy Director of National Intelligence dal 2025. La scelta di una figura già integrata nella struttura suggerisce la volontà della Casa Bianca di evitare ulteriori scossoni in una fase estremamente delicata sul piano geopolitico e cyber.

La successione avviene infatti mentre gli Stati Uniti stanno affrontando una delle fasi più aggressive degli ultimi anni sul fronte cyber-intelligence: campagne APT attribuite a Cina, operazioni ibride riconducibili a Iran, tensioni crescenti con Russia e un ecosistema ransomware sempre più vicino a logiche di destabilizzazione geopolitica.

In questo contesto, il problema non è soltanto il cambio di leadership. Il vero nodo riguarda ciò che emerge dietro le dimissioni: una frattura sempre più evidente tra vertice politico e comunità intelligence americana. E quando questo accade negli Stati Uniti, le conseguenze raramente restano interne a Washington.

HMD Global, l’azienda finlandese che ha costruito la propria reputazione con i telefoni Nokia, sta preparando il lancio di una nuova linea chiamata Thunder. Il primo modello della serie, denominato HMD Thunder Pro, è stato interamente rivelato da un leaker su X, con render ufficiali e specifiche tecniche dettagliate. Ecco cosa aspettarsi.

Design sobrio con modulo fotocamera orizzontale

I render mostrano un dispositivo dal design pulito e diretto, con un modulo fotografico a doppia fotocamera disposto orizzontalmente sul retro — una scelta estetica sempre più comune tra i mid-range. I bordi sono piatti, lo stile è essenziale e funzionale, in linea con la filosofia HMD che privilegia l’affidabilità sopra tutto. Non mancano i colori classici, che dovrebbero puntare su tonalità neutre.

Processore Unisoc T620 con display OLED a 90 Hz

Sul fronte delle specifiche, l’HMD Thunder Pro monterebbe un processore Unisoc T620 con frequenza massima di 2,2 GHz — una scelta che colloca il dispositivo nella fascia media bassa delle prestazioni. La RAM è da 8 GB, lo storage da 256 GB con tecnologia UFS 2.2. Il display è un pannello OLED da 6,67 pollici con risoluzione Full HD+ e refresh rate a 90 Hz: non il massimo, ma sufficiente per un uso quotidiano fluido. Le fotocamere includono un sensore principale da 50 MP con stabilizzazione ottica (OIS) e un ultra-grandangolare da 8 MP; il selfie cam è da 50 MP.

Batteria da 5500 mAh con ricarica a 45W

L’autonomia dovrebbe essere uno dei punti di forza del Thunder Pro: la batteria da 5500 mAh promette una giornata e mezza di utilizzo intenso, con la ricarica a 45W che dovrebbe portare il dispositivo da zero al 100% in meno di un’ora. Le casse stereo integrate completano un profilo tecnico pensato per chi cerca un telefono affidabile e completo a un prezzo accessibile. HMD non ha ancora comunicato prezzo e date di lancio ufficiali.

Il Redmi Note 17 ha fatto la sua prima comparsa ufficiale nel database dell’ente certificativo GSMA, anticipando quello che potrebbe essere un lancio globale più rapido del solito per la serie. La certificazione è un segnale concreto che Xiaomi sta accelerando i tempi di sviluppo rispetto alle generazioni precedenti.

Tre varianti confermate, tutte per mercati globali

Nel database GSMA sono state individuate tre varianti del Redmi Note 17, identificate dai numeri di modello 26012RN62L, 26012RN62Y e 26012RN62A. Queste sigle sembrano riferirsi a versioni destinate al mercato globale e latinoamericano, mentre non compaiono codici per la Cina o l’India — e nemmeno il suffisso “R” che identifica normalmente i modelli con supporto FeliCa per il Giappone. In Europa, compresa l’Italia, le probabilità di ricevere il modello globale sono quindi piuttosto alte.

Tempistiche più rapide del solito

Quello che sorprende maggiormente non è la certificazione in sé, ma il momento in cui avviene. Il Redmi Note 15 è stato presentato nel gennaio 2026, mentre già a maggio 2026 troviamo tracce del Note 17 nel database GSMA — il che suggerisce che Xiaomi stia comprimendo i cicli di aggiornamento della serie o che stia adottando una strategia più aggressiva per competere con Samsung e altri brand nei mercati mid-range. La certificazione GSMA precede generalmente la presentazione ufficiale di poche settimane, quindi un annuncio potrebbe arrivare entro l’estate.

Specifiche ancora sconosciute

Al momento non sono trapelate informazioni sulle specifiche tecniche del Redmi Note 17. Considerando l’evoluzione della serie, ci si aspetta un chipset MediaTek o Snapdragon di fascia media, una fotocamera principale da almeno 108 MP e una batteria da oltre 5000 mAh con ricarica rapida. La serie Redmi Note è storicamente uno dei best seller di Xiaomi in Europa per il rapporto qualità-prezzo, quindi ogni nuova generazione è attesa con interesse dagli appassionati Android.

Xiaomi ha presentato le Xiaomi Clip, nuove cuffie wireless a design aperto che si distinguono per un approccio creativo all’indossabilità: invece di inserirsi nel condotto uditivo, si “agganciano” al padiglione auricolare grazie a un meccanismo a clip, lasciando il canale auditivo completamente libero. Un concept simile al Sony LinkBuds Clip, ma con caratteristiche tecniche interessanti e qualche sorpresa inaspettata.

Design open-ear per una diversa esperienza d’ascolto

Il formato open-ear sta guadagnando sempre più estimatori, soprattutto tra chi vuole rimanere consapevole dell’ambiente circostante mentre ascolta musica o podcast — durante corsa, ciclismo o spostamenti in città. Le Xiaomi Clip si posizionano sull’orecchio senza occludere il canale, riducendo la sensazione di pressione tipica degli auricolari in-ear dopo ore di utilizzo. Il design è compatto e pensato per restare al suo posto anche durante l’attività fisica, con certificazione IP57 che garantisce resistenza a sudore e pioggia leggera.

Autonomia generosa e audio Hi-Res

Sul fronte batteria, le Xiaomi Clip promettono 9 ore di autonomia per le cuffie stesse, che salgono a 28 ore totali grazie alla custodia di ricarica. Si tratta di numeri nella media alta per questa categoria di prodotti. La qualità audio è supportata dalla certificazione Hi-Res Audio e dalla compatibilità con i codec AAC, SBC e LHDC 5.0 — quest’ultimo particolarmente apprezzato da chi vuole la massima qualità senza fili. La connettività è Bluetooth 5.4 con supporto multipoint, che consente di essere collegati a due dispositivi contemporaneamente.

La compatibilità con Find My di Apple fa discutere

La caratteristica più insolita delle Xiaomi Clip è il supporto alla rete “Dov’è” (Find My) di Apple, normalmente riservata ai prodotti del brand della mela. Questo significa che gli utenti iPhone possono rintracciare le cuffie tramite l’app Dov’è, esattamente come farebbero con AirPods o accessori MFi. Una mossa che rafforza il posizionamento di Xiaomi come brand capace di operare in ecosistemi misti. Prezzi e disponibilità globali non sono stati ancora comunicati.

Un problema piuttosto serio sta disturbando i ciclisti che usano Pixel Watch per monitorare i propri allenamenti. Diversi utenti segnalano che i workout in bicicletta non vengono salvati correttamente: i dati vengono rilevati durante l’esercizio, ma al termine dell’allenamento la sessione sparisce, senza lasciare traccia né sull’orologio né sull’app Fitbit collegata.

Dati rilevati ma poi persi

Il caso più comune descritto dagli utenti su Reddit riguarda percorsi in bicicletta divisi in più tratte, con pause in mezzo — tipico di chi usa il Pixel Watch per i tragitti casa-lavoro in città. La funzione di pausa automatica (auto-pause) viene attivata agli stop, ma al termine dell’allenamento viene salvata solo la prima parte del percorso, mentre la seconda scompare. Paradossalmente, il carico cardiaco (cardio load) registra comunque l’attività completa, il che dimostra che i sensori hanno raccolto i dati ma qualcosa va storto nel salvataggio.

Il problema si ripercuote su Fitbit e Strava

Gli utenti di Pixel Watch 4 segnalano inoltre un secondo scenario: al termine di un allenamento, l’orologio mostra normalmente la schermata di riepilogo, ma poi si blocca e torna alla home senza completare il salvataggio. Aprendo l’app Fitbit sullo smartphone o controllando Strava, non si trova alcuna traccia dell’attività. Il problema non si verifica in modo sistematico — alcuni allenamenti vengono salvati correttamente, altri no — ma la frequenza è sufficientemente alta da aver frustrato molti utenti.

Possibile errore di sincronizzazione con Fitbit

Secondo un Product Expert di Google intervenuto nelle discussioni sui forum ufficiali, la causa potrebbe risiedere in un problema di sincronizzazione tra Pixel Watch e il servizio Fitbit. Google sarebbe al lavoro su una correzione, ma al momento non è stata indicata una tempistica precisa per il rilascio del fix. Chi usa regolarmente il Pixel Watch per il ciclismo potrebbe dover tenere attiva una seconda app di tracciamento come backup fino a quando il problema non verrà risolto.

OPPO ha alzato il velo sulle specifiche fotografiche della nuova serie Reno16, in arrivo sul mercato cinese il 25 maggio 2026. I numeri sono decisamente ambiziosi per un mid-range: il modello principale porterà un sensore da 200 megapixel e un teleobiettivo periscopico da 50 megapixel, segnando un salto qualitativo rispetto alle generazioni precedenti.

Tripla fotocamera con sensore principale da 200 MP

La configurazione posteriore del Reno16 si compone di tre fotocamere: un sensore principale da 200 megapixel, un teleobiettivo periscopico da 50 megapixel e un ultra-grandangolare anch’esso da 50 megapixel. La fotocamera frontale non è da meno: 50 megapixel ultra-wide per i selfie. OPPO non ha ancora rivelato i nomi dei sensori utilizzati, ma ha confermato che le versioni standard e Pro potrebbero differire nelle componenti hardware, non solo nel nome. Il Reno16 Pro dovrebbe ricevere sensori di dimensioni maggiori e ottiche più performanti.

Reno16 Pro: LIPO display e batteria da 7000 mAh

Per la versione Pro, i rumor indicano un display LTPO da 6,78 pollici, il processore Dimensity 9500s di MediaTek e una batteria da ben 7000 mAh — una capacità che negli ultimi mesi sembra essere diventata lo standard dei top di gamma Android. L’autonomia prolungata è chiaramente uno dei punti di forza su cui OPPO sta puntando per differenziarsi. La ricarica rapida, probabilmente oltre i 100W, dovrebbe essere inclusa come da tradizione nella gamma Reno.

Disponibilità in Europa ancora da confermare

OPPO ha tradizionalmente portato i modelli della serie Reno in Europa, anche se con qualche mese di ritardo rispetto al lancio cinese. Non ci sono ancora conferme ufficiali per l’Italia, ma il Reno16 Pro in particolare — con la sua configurazione fotografica di punta — potrebbe essere un’opzione interessante per chi cerca alte prestazioni senza spendere quanto un flagship di Samsung o Google. Ulteriori dettagli arriveranno con il lancio ufficiale del 25 maggio.

Samsung continua a esplorare il futuro dei display flessibili. Nuovi documenti brevettuali resi pubblici mostrano un concept di smartphone con schermo arrotolabile — temporaneamente denominato Galaxy G da siti e leaker internazionali — che rivela non solo la meccanica di espansione del display, ma anche una soluzione ingegnosa per gestire le fotocamere in modo non convenzionale.

Come funziona lo schermo arrotolabile

A differenza degli smartphone pieghevoli che Samsung già produce, il dispositivo descritto nel brevetto non piega il display ma lo arrotola: in posizione normale, il telefono ha le dimensioni di un comune smartphone, ma estraendo lateralmente il pannello si ottiene una superficie più ampia. Questa architettura, almeno in teoria, consente profili più sottili rispetto ai foldable, poiché non richiede la doppia sovrapposizione dello schermo. Le immagini dei brevetti, diffuse da WearView e dal leaker xleaks7, mostrano il meccanismo in modo abbastanza dettagliato.

Il sistema fotografico che si adatta all’espansione

L’elemento più originale riguarda la gestione del modulo fotografico. Invece di avere le fotocamere in una posizione fissa che potrebbe interferire con il meccanismo di scorrimento, il brevetto descrive un sistema in cui il modulo camera si sposta in sincronia con l’estensione del display. In questo modo viene evitato il classico “bump” che le fotocamere creano sul profilo della scocca, mantenendo lo spessore complessivo del dispositivo uniforme anche quando il display è aperto.

Dal brevetto al prodotto: strada ancora lunga

Vale la pena ricordare che un brevetto non equivale a un prodotto in arrivo. Samsung deposita decine di brevetti ogni anno su tecnologie che non raggiungono mai il mercato, o che ci arrivano anni dopo. LG aveva già sviluppato un rollable — il LG Rollable — prima di uscire dal mercato degli smartphone nel 2021, a riprova di quanto queste soluzioni siano tecnicamente complesse da industrializzare. Tuttavia, il fatto che Samsung continui a investire nella ricerca su questi form factor suggerisce che l’idea non è stata abbandonata, e potrebbe concretizzarsi nei prossimi anni.

Perché i log sono il primo posto dove guardare

Quando qualcosa si rompe su un sistema Linux, i log sono quasi sempre la prima risposta. Eppure molti amministratori li consultano solo come ultima risorsa, quando ormai il danno è fatto. I log raccontano cosa sta facendo il sistema adesso, cosa ha fatto ieri notte, e cosa esattamente è andato storto alle 3:00 di questa mattina. Imparare a leggerli, cercarli e gestirli è una delle competenze fondamentali di ogni sysadmin.

Questa guida copre i file di log che ogni amministratore Linux dovrebbe conoscere, gli strumenti per cercarli in modo efficiente, e come evitare che crescano fino a riempire il disco.

Dove vivono i log su Linux

La maggior parte dei file di log si trova sotto /var/log/. Alcuni sono testo semplice, altri sono binari e richiedono strumenti dedicati per essere letti. Ecco i più importanti:

• /var/log/syslog (Debian/Ubuntu) o /var/log/messages (RHEL/CentOS/Fedora) — messaggi generali di sistema da kernel e servizi.
• /var/log/auth.log (Debian/Ubuntu) o /var/log/secure (RHEL/CentOS/Fedora) — tentativi di autenticazione, uso di sudo, accessi SSH.
• /var/log/kern.log — messaggi specifici del kernel. Utile per problemi hardware e driver.
• /var/log/dmesg — output del kernel ring buffer dal boot. Accessibile anche tramite il comando dmesg.
• /var/log/dpkg.log — cronologia di installazione, rimozione e aggiornamento pacchetti su sistemi Debian.
• /var/log/dnf.log o /var/log/yum.log — equivalente per Fedora/RHEL.
• /var/log/apache2/ o /var/log/httpd/ — log di accesso ed errore di Apache.
• /var/log/nginx/ — log di accesso ed errore di Nginx.
• /var/log/mysql/ — log degli errori MySQL.
• /var/log/cron o /var/log/cron.log — cronologia di esecuzione dei cron job.

Sui sistemi moderni basati su systemd, molti di questi log tradizionali sono affiancati o sostituiti dal journal di systemd. Ne parliamo nella sezione dedicata a journalctl.

Lettura di base: tail, less e cat

Per i file di testo semplice, gli strumenti classici funzionano benissimo.

Visualizzare la coda del log

tail /var/log/syslog

Seguire un log in tempo reale

tail -f /var/log/syslog

tail -f /var/log/syslog /var/log/auth.log

Sfogliare il log completo con paginazione

less /var/log/syslog

Ricerca nei log con grep

Quando un log cresce oltre qualche MB, scorrere manualmente diventa inutile. grep è lo strumento principale per filtrare le righe rilevanti.

Trovare tutti i fallimenti di autenticazione SSH

grep "Failed password" /var/log/auth.log

Ricerca case-insensitive

grep -i "error" /var/log/syslog

Mostrare il contesto intorno a ogni match (3 righe prima e dopo)

grep -C 3 "Out of memory" /var/log/syslog

Ricerca ricorsiva in una directory

grep -r "connection refused" /var/log/nginx/

Contare quante volte appare un pattern

grep -c "Failed password" /var/log/auth.log

Filtrare per una data specifica

grep "^May 21" /var/log/syslog

Combinare tail e grep per cercare solo nelle righe recenti

tail -n 500 /var/log/syslog | grep "error"

Il journal di systemd: journalctl

Su qualsiasi distro moderna basata su systemd, journalctl è spesso più potente dei file di log tradizionali. Il journal raccoglie output da tutti i servizi, dal kernel e dal processo di boot in un formato binario strutturato e interrogabile.

Comandi essenziali di journalctl

# Tutte le voci del journal (dalla più vecchia)
journalctl

# Dal più recente al più vecchio
journalctl -r

# Seguire il journal in tempo reale (come tail -f)
journalctl -f

# Solo i messaggi del kernel
journalctl -k

# Log di un servizio specifico
journalctl -u nginx
journalctl -u sshd

# Solo dal boot corrente
journalctl -b

# Dal boot precedente (utile dopo un crash o riavvio imprevisto)
journalctl -b -1

# Solo errori e livelli superiori (emergency, alert, critical, error)
journalctl -p err

# Filtro per intervallo di tempo
journalctl --since "2026-05-21 08:00:00" --until "2026-05-21 09:00:00"

# Oppure con tempo relativo
journalctl --since "1 hour ago"

# Output compatto senza pager, utile per piping
journalctl -u sshd -o short --no-pager | tail -50

Analisi dei log di autenticazione SSH

Il log di autenticazione è uno dei più importanti su qualsiasi server esposto a internet. Se il server ha un IP pubblico, ci saranno tentativi di brute-force costanti. Ecco come analizzarli.

Vedere i fallimenti SSH recenti

# Su Debian/Ubuntu
grep "Failed password" /var/log/auth.log | tail -20

# Su RHEL/CentOS/Fedora
grep "Failed password" /var/log/secure | tail -20

# Su qualsiasi sistema systemd
journalctl -u sshd | grep "Failed password" | tail -20

Trovare gli IP che attaccano di più

grep "Failed password" /var/log/auth.log \
    | grep -oP 'from \K[0-9.]+' \
    | sort | uniq -c | sort -rn | head -10

Log del kernel e del boot con dmesg

Il comando dmesg legge dal kernel ring buffer ed è particolarmente utile per diagnosticare problemi hardware, driver e dischi.

# Tutti i messaggi kernel
dmesg

# Con timestamp leggibili
dmesg -T

# Solo errori e warning
dmesg -T --level=err,warn

# Cercare errori disco
dmesg -T | grep -i "error\|fail\|reset"

Gestione della rotazione: logrotate

I log mangiano disco se non vengono gestiti. Su quasi tutti i sistemi Linux, logrotate si occupa di questo automaticamente: comprime e ruota i file di log secondo una schedulazione configurabile.

Il file di configurazione principale è /etc/logrotate.conf, mentre le configurazioni per singola applicazione si trovano sotto /etc/logrotate.d/.

Un esempio tipico per Nginx:

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
    endscript
}

• daily / weekly / monthly — frequenza di rotazione.
• rotate 14 — quanti file vecchi conservare prima di cancellare.
• compress — comprime i log ruotati con gzip.
• delaycompress — non comprime il log ruotato più di recente (utile per applicazioni che tengono il file aperto brevemente dopo la rotazione).
• missingok — non genera errore se il file di log non esiste.
• postrotate — esegue un comando dopo la rotazione, tipicamente per segnalare all’applicazione di riaprire il file di log.

Test e debug di logrotate

# Simulare la rotazione senza eseguirla davvero
sudo logrotate --debug /etc/logrotate.conf

# Forzare la rotazione immediatamente (utile per test)
sudo logrotate --force /etc/logrotate.d/nginx

Gestione della dimensione del journal systemd

Anche il journal di systemd può crescere molto se non monitorato. Verificare l’utilizzo disco e limitarlo:

# Verificare lo spazio occupato dal journal
journalctl --disk-usage

# Ridurre il journal a un massimo di 500 MB
sudo journalctl --vacuum-size=500M

# Mantenere solo le voci degli ultimi 30 giorni
sudo journalctl --vacuum-time=30d

[Journal]
SystemMaxUse=500M
MaxRetentionSec=1month

Un workflow pratico per il troubleshooting

Quando si affronta un problema su un server Linux, un approccio sistematico ai log risparmia tempo. Partire da journalctl -p err -b per vedere tutti gli errori del boot corrente, poi restringere con journalctl -u nome-servizio --since "30 min ago" per il servizio specifico. Se il problema è comparso dopo un riavvio, journalctl -b -1 mostra i log del boot precedente. Per problemi hardware, dmesg -T --level=err,warn è spesso la risposta più rapida.

I log su Linux non sono una last resort: sono la prima e più affidabile fonte di verità su cosa sta succedendo nel sistema.

Fonte originale: LinuxBlog.io — Linux Log Files: Guide to Reading, Searching, and Managing Logs di Hayden James.