Careless Whisper: sfruttare le ricevute di consegna silenziose per monitorare gli utenti sui servizi di messaggistica istantanea per dispositivi mobili

(articolo scientifico di ottobre)
Oltre alla messaggistica istantanea tradizionale, molti servizi implementano funzionalità aggiuntive come le ricevute di consegna e di lettura, che informano l'utente quando un messaggio ha raggiunto il destinatario. Questo documento evidenzia che le ricevute di consegna possono rappresentare rischi significativi per la privacy degli utenti. Utilizziamo messaggi appositamente creati che attivano ricevute di consegna silenziose, consentendo a qualsiasi utente di essere contattato senza la sua conoscenza o il suo consenso. Utilizzando questa tecnica ad alta frequenza, dimostriamo come un aggressore possa estrarre informazioni private, come il monitoraggio di un utente su diversi dispositivi complementari, dedurre la sua programmazione giornaliera o le sue attività correnti. Inoltre, possiamo dedurre il numero di sessioni utente attualmente attive (ovvero, dispositivi principali e complementari) e il loro sistema operativo, nonché lanciare attacchi che esauriscono le risorse, come l'esaurimento della batteria o del traffico dati, il tutto senza generare alcuna notifica sul lato bersaglio. A causa dell'ampia adozione di servizi di messaggistica vulnerabili ( WhatsApp e Signal ) e del fatto che qualsiasi utente può essere preso di mira semplicemente conoscendone il numero di telefono, sosteniamo la necessità di una modifica progettuale per risolvere questo problema.

https://arxiv.org/html/2411.11194v4

Ciao! Stai usando WhatsApp: Enumerazione di tre miliardi di account per sicurezza e privacy

(questo invece è uno studio di qualche giorno fa. Grazie a Claudio Sono per la segnalazione)
WhatsApp, con 3,5 miliardi di account attivi all'inizio del 2025, è la piattaforma di messaggistica istantanea più grande al mondo.

Data la sua enorme base di utenti, WhatsApp svolge un ruolo fondamentale nella comunicazione globale.
Per avviare una conversazione, gli utenti devono prima scoprire se i loro contatti sono registrati sulla piattaforma. Questo risultato si ottiene interrogando i server di WhatsApp con il numero di cellulare estratto dalla rubrica dell'utente (se ne ha consentito l'accesso).
Questa architettura consente intrinsecamente l'enumerazione dei numeri di telefono, poiché il servizio deve consentire agli utenti legittimi di verificare la disponibilità dei contatti. Sebbene la limitazione della frequenza sia una difesa standard contro
gli abusi, riesaminiamo il problema e dimostriamo che WhatsApp rimane altamente vulnerabile all'enumerazione su larga scala. Nel nostro studio, siamo stati in grado di analizzare oltre cento milioni di numeri di telefono all'ora senza incorrere in blocchi o limitazioni di frequenza efficaci.
I nostri risultati dimostrano non solo la persistenza, ma anche la gravità di questa vulnerabilità. Dimostriamo inoltre che quasi la metà dei numeri di telefono divulgati durante la fuga di dati di Facebook del 2021 sono ancora attivi su WhatsApp, sottolineando i rischi persistenti associati a tali esposizioni. Inoltre, siamo stati in grado di effettuare un censimento degli utenti di WhatsApp, fornendo uno sguardo alle informazioni macroscopiche che un grande servizio di messaggistica è in grado di generare, nonostante i messaggi stessi siano crittografati end-to-end. Utilizzando i dati raccolti, abbiamo anche scoperto il riutilizzo di alcune chiavi X25519 su diversi dispositivi e numeri di telefono, indicando implementazioni non sicure (personalizzate) o attività fraudolente.
In questa versione aggiornata del documento, forniamo anche approfondimenti sul processo di correzione collaborativa attraverso il quale abbiamo confermato che il problema di limitazione della velocità sottostante era stato risolto.

https://github.com/sbaresearch/whatsapp-census/blob/main/Hey_there_You_are_using_WhatsApp.pdf

La Spagna apre un’inchiesta su Meta per violazione della privacy. Sanchez: «I dirigenti dovranno rendere contro al Congresso»

L'azienda di Facebook e Instagram avrebbe spiato i dati di navigazione di milioni di utenti senza il loro consenso

https://www.open.online/2025/11/19/spagna-inchiesta-meta-violazione-privacy-sanchez/

Meta, per un giudice statunitense il colosso non è un monopolio e i social che conoscevamo sono morti

In una sentenza emessa martedì 18 novembre, il giudice statunitense James Boasberg ha stabilito che la Ftc non è riuscita a dimostrare che Meta detiene un monopolio nel mercato dei “social network personali” (personal social networking). L'ente sosteneva che la società di Mark Zuckerberg avrebbe solo due rivali nel settore, Snapchat e MeWe, che peraltro faticherebbero a competere proprio a causa del predominio di Meta.

https://www.wired.it/article/meta-causa-ftc-sentenza-monopolio-social-network/

Un alto funzionario democratico dell'intelligence del Senato mette in guardia dalle conseguenze informatiche "catastrofiche" dei licenziamenti per motivi di sicurezza nazionale e della politicizzazione dell'amministrazione Trump

Il senatore democratico della Virginia Mark Warner ha affermato che l'amministrazione Trump sta rendendo la nazione vulnerabile in un momento di crescenti minacce nel cyberspazio.

https://cyberscoop.com/top-senate-intel-dem-warns-of-catastrophic-cyber-consequences-of-trump-admin-national-security-firings-politicization/

Revisione repubblicana delle leggi sui permessi per la banda larga: le città la odiano, le compagnie via cavo la adorano

Città e contee definiscono il piano del Congresso un'“intrusione federale senza precedenti”.

https://arstechnica.com/tech-policy/2025/11/gop-overhaul-of-broadband-permit-laws-cities-hate-it-cable-companies-love-it/

"Avremmo potuto chiedere a ChatGPT": gli studenti si ribellano al corso insegnato dall'intelligenza artificiale

Gli studenti dello Staffordshire affermano che il materiale dei cartelli generato dall'intelligenza artificiale includeva nomi di file sospetti e un accento canaglia nella voce fuori campo

https://www.theguardian.com/education/2025/nov/20/university-of-staffordshire-course-taught-in-large-part-by-ai-artificial-intelligence

Google ha aggiunto delle funzionalità che consentono a Gmail di accedere a tutti i messaggi privati ​​e agli allegati per addestrare i suoi modelli di intelligenza artificiale.

Se utilizzi Gmail, devi essere a conoscenza di un'importante modifica che verrà implementata in modo discreto. A quanto pare , Google ha recentemente iniziato a consentire automaticamente agli utenti di accedere a Gmail a tutti i messaggi privati ​​e agli allegati per addestrare i suoi modelli di intelligenza artificiale. Ciò significa che le tue email potrebbero essere analizzate per migliorare gli assistenti di intelligenza artificiale di Google, come Smart Compose o le risposte generate dall'intelligenza artificiale. A meno che tu non decida di agire.

Passaggio 1: disattiva le funzionalità intelligenti nelle impostazioni di Gmail, Chat e Meet
Passaggio 2: disattiva le funzionalità intelligenti di Google Workspace

https://www.malwarebytes.com/blog/news/2025/11/gmail-is-reading-your-emails-and-attachments-to-train-its-ai-unless-you-turn-it-off

Ieri sera a Bruxelles, aspettando il #DigitalOmnibus


https://x.com/maxschrems/status/1991100226577571967

Ecco come l’Agcm fa cambiare posizione a Google sul consenso dei dati

L’Agcm chiude l’istruttoria su Google, che si impegna a garantire maggiore trasparenza sul consenso ai dati personali, più controllo per gli utenti e una comunicazione dedicata a chi aveva già espresso una scelta. Tutti i dettagli

https://www.startmag.it/innovazione/ecco-come-lagcm-fa-cambiare-posizione-a-google-sul-consenso-dei-dati/

Il databreach di Almaviva è un cataclisma. Ecco la bozza di reclamo da inviare al Garante Privacy

La notizia del gigantesco data breach deve far tremare i polsi a tutti, animali compresi, perché a bordo di questo treno ci siamo tutti.

https://garantepiracy.it/blog/almaviva-fs/

MediaWorld vende per errore iPad a 15 euro e poi li chiede indietro, ma può farlo davvero?

L'offerta incredibilmente vantaggiosa è comparsa ai possessori della carta fedeltà lo scorso 8 novembre. Dopo undici giorni l'azienda ha iniziato a contattare chi ha effettuato gli acquisti parlando di un “palese errore”

https://www.wired.it/article/mediaworld-vende-per-errore-ipad-15-euro-e-chiede-restituzione/

WhatsApp cambia pelle, ma la privacy resta nuda: l'analisi di Signorina37

Quando un’app di messaggistica ha 3.5 miliardi (su un totale di 8 miliardi di “terran” – troppi) di account attivi non è più “solo” un’app: è un’infrastruttura planetaria. Oggi WhatsApp regge una fetta enorme della comunicazione privata e professionale (pure scam, ma questo lo lasciamo per un altro contenuto) nel mondo.

Negli ultimi mesi due cose si sono incrociate:

- una ricerca dell’Università di Vienna che ha dimostrato quanto sia stato facile enumerare praticamente tutti gli account WhatsApp partendo dai numeri di telefono (paper)
- la decisione di WhatsApp di spingere verso l’uso di username al posto del numero nelle interazioni (fonte)

Mettiamole insieme, numeri alla mano, e vediamo cosa succede davvero “prima e dopo” gli username.

https://ransomnews.online/blog/whatsapp_phone_usernames_privacy.html (traduzione a metà pagina)

Digital Omnibus - Ecco una prima analisi giuridica del suo impatto regolatorio, a cura dei legali di NOYB

Questa settimana è uscito il "Digital Omnibus". noyb sta attualmente lavorando a un'analisi scritta approfondita che speriamo di pubblicare nei prossimi giorni. In anteprima, abbiamo riunito in un video i membri del team che hanno lavorato sui vari aspetti della proposta Omnibus della Commissione Europea, per approfondire argomenti selezionati (la nuova definizione di dati personali, la nuova esenzione per la ricerca, le limitazioni alle norme sulla trasparenza e le nuove regole sull'accesso alle apparecchiature terminali).

https://www.informapirata.it/2025/11/22/digital-omnibus-ecco-una-prima-analisi-giuridica-del-suo-impatto-regolatorio-a-cura-dei-legali-di-noyb/

I registri dell'FBI rivelano che il Bureau ha spiato una chat di gruppo Signal di attivisti per l'immigrazione

Il fatto che l'FBI tratti la a partecipazione civica come una minaccia terroristica fa capire il profondo disprezzo del regime di Trump anche per le più elementari libertà democratiche.

I documenti sono stati ottenuti da Property of the People , un'organizzazione governativa senza scopo di lucro per la trasparenza, tramite richieste di documenti pubblici.

https://www.theguardian.com/us-news/2025/nov/21/fbi-signal-group-chat-immigration

Più Comella, meno Fanizza. L'email in cui il segretario generale del Garante della privacy chiede di violare la privacy dei dipendenti del Garante

Le ragioni delle dimissioni del segretario generale del Garante della privacy, Angelo Fanizza, non sono state rese note ufficialmente, ma hanno a che fare con la richiesta di Fanizza al dirigente della sicurezza informatica, Cosimo Comella, di acquisire molte informazioni dai computer dei dipendenti del Garante

https://www.ilpost.it/flashes/mail-garante-privacy-dimissioni-segretario-fanizza-risposta-comella/

Dopo qualche settimana di pausa per farvi "digerire" i primi 6 livelli, e per recuperare l'arretrato, continuo con il mio corso sulla AI Literacy e pubblico il Livello 7 sugli aspetti sociali, tecnici e giuridici della IA Agentica.
Il prossimo, il livello 8, sarà dedicato a IA e minori e poi, a dicembre, questo corso si concluderà. Intanto sto pensando a cosa avviare per il prossimo anno! 😄
https://www.youtube.com/watch?v=0Bh-E56yGG4

L'Ufficio Brevetti e Marchi degli Stati Uniti (USPTO) ha proposto nuove regole che di fatto porrebbero fine alla possibilità per il pubblico di contestare brevetti concessi impropriamente

Se queste regole entreranno in vigore, daranno ai patent troll esattamente ciò che inseguono da anni: un modo per tenere in vita e fuori dalla loro portata i brevetti illegali. Le persone prese di mira dalle cause legali dei troll non avranno praticamente alcun modo realistico o conveniente per difendersi.

https://www.eff.org/deeplinks/2025/11/patent-office-about-make-bad-patents-untouchable

Fox News si affida a Palantir per portare l’IA in redazione

La collaborazione di Fox News con Palantir punta a ottimizzare i flussi di lavoro digitali, senza cedere contenuti né delegare la produzione editoriale

https://www.startmag.it/innovazione/fox-news-si-affida-a-palantir-per-portare-lia-in-redazione/

Il Garante e le email dei dipendenti, Scorza: “Ecco com’è andata”

Dalla lettera dell’ex segretario generale con la richiesta di dati e posta elettronica del personale alla ferma opposizione del direttore informatico, fino alla richiesta di dimissioni dell’intero collegio e alla scelta di restare per risanare la frattura interna ed esterna, Guido Scorza dà la sua versione dei fatti

https://www.agendadigitale.eu/sicurezza/privacy/garante-il-caso-delle-mail-del-personale-scorza-ecco-come-andata/

Grazie a @calamarim per la segnalazione