Tech
Attacchi “Light Commands”: non sono una pura fantasia!

Un gruppo di ricercatori accademici delle Università del Michigan e dell’Electro-Communications di Tokyo di recente ha pubblicato, in un rapporto, la scoperta che gli assistenti vocali più diffusi in commercio possono essere ingannati e pertanto essere potenzialmente comandati a distanza tramite un fascio di luce laser. Questo perchè i microfoni di tipo MEMS in essi integrati reagiscono oltre che al suono anche alla luce puntata loro direttamente: una modulazione di ampiezza dell’intensità di un fascio di luce, per il tramite di un segnale elettrico può generare sul microfono una trasduzione analoga a quella prodotta da un onda sonora.
Ecco alcuni concetti alla base della ricerca che non la rendono per nulla una pura fantasia: la fotoacustica, i microfoni a condensatore, la modulazione di ampiezza (AM).
Per maggiori dettagli sul dimensionamento del sistema, le scelte e le osservazioni tecniche è possibile scaricare l’interessante Report dal sito allestito dal Team di Ricerca
La Fotoacustica. La fotoacustica è una branca della fisica che studia come interagisce la luce con le onde di pressione acustica. Lo studio condotto già a partire dalla fine del XIX secolo portò A.G. Bell a realizzare un dispositivo costituito da uno specchio vibrante per modulare la luce solare e da una cella di selenio per convertire il segnale modulato in uno elettrico. Nel tempo però questa tecnica che richiedeva una linea di trasmissione diretta tra sorgente e ricevente fu superata dall’adozione delle comunicazioni radio e dalle successive tecniche di comunicazione digitale, che risultarono più versatili. L’effetto fotoacustico comunque oggi trova largo impiego in diverse applicazioni mediche.
Microfoni a condensatore. Un microfono MEMS based è di fatto un microfono a condensatore in cui un’armatura è fissa e l’altra è costituita da una membrana (diaframma). Ogni variazione della distanza fra queste due armature dovuta alla vibrazione della membrana colpita da un’onda di pressione provoca una variazione della capacità del condensatore che viene trasdotta (tramite un circuito integrato ASIC) in una variazione di tensione. La tecnologia MEMS presenta delle caratteristiche di alta sensibilità e consente di prelevare suoni anche in ambienti rumorosi.
La modulazione di ampiezza (AM). La modulazione di ampiezza è una tecnica di comunicazione secondo la quale l’ampiezza di un segnale portante viene fatta variare in modo proporzionale all’ampiezza del corrispondente segnale modulante. Il valore istantaneo del segnale modulato può essere pertanto rappresentato attraverso la seguente funzione: y(t)= A + B sen(2 π f t) dove
A è l’ampiezza della portante in assenza di modulazione
B sen(2 π f t) è il valore istantaneo del segnale modulante
y(t) è il valore istantaneo dell’ampiezza del segnale modulato
nell’esperimento in oggetto, spiegano i ricercatori, il segnale portante è una corrente laser e il segnale modulante una corrente elettrica (il segnale audio) secondo la seguente equazione:
It = Idc + Ipp sen(2 π f t) dove
Idc è la corrente di polarizzazione laser (ampiezza della portante in assenza di modulazione)
Ipp sen(2 π f t) è il valore picco-picco del segnale elettrico con frequenza f (valore istantaneo del segnale modulante)
It è la corrente del diodo laser (valore istantaneo dell’ampiezza del segnale modulato)
Sulla base di questa equazione i ricercatori hanno implementato un sistema per codificare il segnale analogico (segnale audio) attraverso la modulazione di ampiezza dell’intensità di un fascio laser.
Ecco un diagramma a blocchi del sistema di attacco base.

I componenti necessari per l’implementazione del sistema hanno dei costi relativamente bassi e risultano facilmente reperibili sugli store online.
Gli scenari d’attacco
I ricercatori hanno messo a punto alcuni scenari video-documentati. Con diversi esperimenti atti a verificarne la fattibilità anche a distanza, hanno dimostrato una possibilità di attacco sia attraverso una finestra di vetro distante circa 70 metri che in un ambiente di test lungo un corridoio di 110 metri di lunghezza.
E’ stato appurato che per garantire una buona focalizzazione del raggio laser convenga scegliere un diodo laser blu (λ=450 nm) piuttosto che uno rosso (λ=638 nm), perché una lunghezza d’onda minore consente una migliore messa a fuoco tramite l’impiego di un teleobiettivo.
Le possibili contromisure
La cosa che più preoccupa è che qualora si riuscisse ad acquisire il controllo non autorizzato di un assistente vocale, questo a sua volta potrebbe essere sfruttato come testa di ponte per violare e comandare altri sistemi ad esso connessi: serrature, interruttori o basculanti intelligenti solo per citarne alcuni.
Anche se finora non risulta comunque alcuna prova che questo attacco sia stato effettivamente messo in atto, è sempre utile evidenziare le accortezze, consigliate dagli stessi ricercatori, che andrebbero adottate.
Il fascio di luce laser potrebbe produrre qualche riflesso sul dispositivo. Questo potrebbe essere interpretato dall’utente come un campanello d’allarme.
Gli sviluppatori ed i produttori di sistemi di controllo vocali per migliorare gli standard di sicurezza dei loro dispositivi potrebbero:
Prevedere una domanda random di consenso prima dell’esecuzione di ogni comando vocale.
Prevedere un’acquisizione audio da più sorgenti microfoniche. Un fascio laser, infatti, essendo unidirezionale può colpire solo un singolo microfono.
Proteggere, con una lente polarizzata, il microfono integrato sui dispositivi, per smorzare il flusso di luce eventualmente trasmesso e diretto sul diaframma.
Tech
iMessage con utenti Android sono migliorate, ma anche peggiorate in iOS 17
Tempo di lettura: 2 minuti. Con iOS 17, Apple migliora l’esperienza di utilizzo delle chat di gruppo iMessage con utenti Android, ma solo se si utilizza un iPhone.

Il stigma della “bolla verde” è una cosa molto reale e, in parte, per una buona ragione. Quando qualcuno con un telefono Android si unisce a una chat di gruppo con utenti iMessage, si perde un sacco di funzionalità utili, ma Apple sta migliorando in parte questo in iOS 17.
Miglioramenti alle chat di gruppo iMessage in iOS 17
iOS 17, attualmente in beta, porta nuove funzionalità come StandBy e miglioramenti all’autocorrezione, tra le altre cose. Uno dei miglioramenti non menzionati da Apple riguarda le chat di gruppo in iMessage che includono utenti Android. Mentre questo aggiornamento non è purtroppo RCS, iOS 17 mantiene la maggior parte delle funzionalità di iMessage operative quando il gruppo include qualcuno su Android.
Come funzionano le chat di gruppo con utenti Android
Nelle versioni precedenti di iOS, una chat di gruppo iMessage che includeva qualcuno su Android (o chiunque utilizzasse SMS) eliminava la maggior parte delle migliori funzionalità di iMessage. Ciò includeva i thread, l’editing del testo e altro. Come hanno mostrato le persone di XDA in una demo, iMessage in iOS 17 ora mantiene molte di queste funzionalità.
Le chat di gruppo che contengono sia utenti Android che iPhone permetteranno ancora l’editing del testo, le risposte in thread e anche la piena qualità di foto/video. La trappola, però, è che questo funziona solo per gli utenti iPhone nel gruppo. I testi modificati non sono riflessi per gli utenti Android, e sia le immagini che i video rimarranno compressi per adattarsi ai limiti ormai obsoleti degli SMS/MMS. Le risposte in thread funzionano anche in modo diverso per gli utenti Android, poiché questi testi saranno trasmessi via SMS, ma non nell’ordine che l’utente iPhone intende.
Effetti collaterali delle nuove funzionalità
La cosa buona qui è che, chiaramente, gli utenti iPhone beneficeranno di chat di gruppo migliori indipendentemente da chi è nel gruppo. Tuttavia, l’effetto collaterale che non vedranno è che gli utenti Android avranno, in alcuni modi, un’esperienza peggiore a causa di questo. Con i thread fuori ordine e i messaggi modificati che semplicemente non appaiono affatto, sarà ancora più difficile comprendere il contesto di alcune conversazioni.
Dove RCS è qualcosa che potrebbe beneficiare tutti, Apple sembra solo che stia raddoppiando il suo impegno per garantire che la messaggistica tra Android e iOS sia il più terribile possibile.
Tech
Apple aggiunge i campi dei pronomi con un focus sulla privacy nell’app Contatti su iOS 17
Tempo di lettura: 2 minuti. iOS 17 e watchOS 10 introducono un nuovo modo per scambiare facilmente le informazioni di contatto tra iPhone, Apple Watch, o entrambi.

iOS 17 e watchOS 10 introducono un nuovo modo per scambiare facilmente le informazioni di contatto tra iPhone, Apple Watch, o entrambi. NameDrop, la nuova funzione in beta ora e che sarà disponibile per tutti questo autunno, ti permette di controllare quali informazioni condividi su AirDrop senza dover creare una scheda di contatto separata.
Aggiornamenti alla scheda di contatto in iOS 17
NameDrop non è l’unico aggiornamento all’esperienza della scheda di contatto in iOS 17. iOS 17 introduce una funzione molto richiesta all’app Contatti sotto forma di un nuovo campo per i pronomi.
Il nuovo campo dei pronomi
Le persone spesso includono le preferenze sui pronomi nelle firme delle email e sui social media, ma per salvare queste informazioni nell’app Contatti era necessario creare manualmente un campo nella sezione delle note. Ora c’è un campo preimpostato dove possono essere salvate le preferenze sui pronomi.
Il campo dei pronomi non è solo utile con le schede di contatto per gli altri; puoi aggiungere le tue preferenze sui pronomi alla tua scheda di contatto personale. Una volta fatto, le tue preferenze sui pronomi saranno condivise insieme alle altre tue informazioni di contatto quando scambi le schede con qualcuno.
Non è solo un semplice campo di testo. Apple ti permette di scegliere tra un numero di lingue, e l’app include una spiegazione su come utilizzare tre forme di pronomi con precisione grammaticale.
Politica sulla privacy per le voci dei pronomi
Importante, Apple include una utile politica sulla privacy per le voci dei pronomi. “I pronomi sono utilizzati solo sui tuoi dispositivi da app Apple supportate”, dice l’azienda. “Non sono condivisi con Apple o sviluppatori di terze parti”.
Puoi trovare il nuovo campo dei pronomi su iOS 17, iPadOS 17, macOS Sonoma, e watchOS 10. Le nuove piattaforme di Apple sono attualmente in beta per gli sviluppatori. Una beta pubblica sarà lanciata a luglio. Le versioni finali dovrebbero essere pronte all’inizio di settembre.
Tech
Gli utenti di Google Workspace possono ora accedere senza password, grazie ai passkey

Dopo il lancio del supporto passkey per gli account Google dei consumatori a maggio, Google ha ora esteso l’accesso senza password agli account aziendali di Google Workspace. Google definisce il lancio di Workspace come una “Beta aperta” e afferma che “più di 9 milioni di organizzazioni possono consentire ai loro utenti di accedere agli account di Google Workspace e Google Cloud utilizzando passkey invece delle password”.
Cosa sono i passkey
Google Passkey: cos’è, come funziona e come attivarlo su Windows, Android, macOs, iPhone, iPad
Se non ne avete sentito parlare, i passkey sono una nuova sostituzione della password, con il supporto di Google, Apple e Microsoft. Invece di presentare una casella di testo per la password durante l’accesso, il supporto passkey – che deve essere integrato nel tuo browser e sistema operativo – avrebbe la tua macchina che scambia coppie di chiavi pubbliche-private con il sito web utilizzando lo standard “WebAuthn”, e sei loggato. La maggior parte delle implementazioni di Passkey rendono un dispositivo portatile, tipicamente il tuo telefono, un requisito per l’accesso, anche se stai utilizzando un PC. Di solito tiri fuori il tuo telefono e lo sblocchi, un po’ come l’autenticazione a due fattori basata su app o SMS.
Vantaggi e svantaggi dei passkey
Il concetto di base è un’evoluzione ragionevole della password. Nei primi tempi, le password dovevano essere memorizzabili dall’uomo, e le avresti digitate manualmente nella casella di testo. Poi sono arrivati i gestori di password, e la pratica migliore era generare una stringa casuale e incollarla nella casella di testo del sito web, come una sorta di hack per il vecchio sistema “digita”. I passkey rimuovono completamente la casella di testo, e il browser invia quella “stringa casuale” senza l’intermediario umano. I passkey migliorano la sicurezza delle password perché non si possono mai scrivere, non possono essere riutilizzati su diversi siti, e sono molto più difficili da pescare rispetto alle password, perché il browser decide quali passkey appartengono a quali siti.
Ci sono però alcuni svantaggi. Prima di tutto, siamo ancora agli inizi, e non tutte le piattaforme sono supportate. La pagina “device support” di passkeys.dev mostra un supporto limitato per Linux e Chrome OS. L’implementazione passkey di Apple/Google/Microsoft ti costringe anche a sincronizzare i tuoi passkey con il tuo fornitore di sistema operativo, e non comunicano tra loro. Quindi, mentre oggi puoi sincronizzare le tue password con Chrome o Firefox e saranno sincronizzate ovunque tu usi quel browser, i passkey si sincronizzeranno solo con i prodotti del sistema operativo Microsoft o Google o Apple.
Come iniziare a utilizzare un passkey
Se vuoi iniziare a utilizzare un passkey, i consumatori possono visitare https://g.co/passkeys. Sembra che gli utenti Workspace aziendali saranno in grado di utilizzare i passkey come metodo di autenticazione a due fattori insieme a una password per impostazione predefinita, e gli amministratori di Workspace dovranno seguire queste istruzioni se vogliono consentire l’uso dei passkey come sostituto della password. Google afferma che la funzionalità Workspace è in una “implementazione graduale” ora e ci vorranno 15 giorni per raggiungere gli utenti aziendali, mentre ogni consumatore dovrebbe avere accesso al passkey ora.

-
Inchieste2 settimane fa
Vinted: oltre le truffe c’è feticismo. Attenzione ai minori
-
Editoriali2 settimane fa
Facebook multata per 1,3 miliardi. L’Italia esce sconfitta … ancora una volta
-
Inchieste2 settimane fa
Vinted: beyond scams is fetishism. Beware of minors
-
Editoriali2 settimane fa
Robot e Diritti: il Confucianesimo Come Alternativa?”
-
Inchieste2 settimane fa
APT33, hacker iraniani che mettono a rischio la sicurezza globale
-
Inchieste1 settimana fa
APT42, il gruppo di cyber-spionaggio sponsorizzato dallo stato Iraniano: un’analisi dettagliata
-
Inchieste1 settimana fa
Agrius: l’Apt iraniano specializzato in wiper contro Israele
-
Editoriali6 giorni fa
Per uno spot da 4 soldi, il Garante Privacy ha escluso l’Italia dal tour Europeo di Chat GPT