Dettagli

Will

News

08 Maggio 2026

Visite: 40

Molti utenti di Google Chrome stanno notando un consumo anomalo di spazio sul disco del proprio computer. La causa, secondo diverse segnalazioni emerse negli ultimi giorni, sarebbe un grande file installato automaticamente dal browser: un modello di intelligenza artificiale locale legato a Gemini Nano, capace di occupare circa 4 GB

Il file incriminato si chiama weights.bin ed è archiviato in una cartella interna di Chrome chiamata OptGuideOnDeviceModel. Su Windows, ad esempio, può trovarsi nel percorso:

C:\Users\NOME_UTENTE\AppData\Local\Google\Chrome\User Data\OptGuideOnDeviceModel

Secondo gli esperti che hanno analizzato il fenomeno, il download avverrebbe automaticamente sui dispositivi compatibili, senza una richiesta esplicita all’utente.

A cosa serve questo modello AI?

Il file non sarebbe malware né spyware, ma farebbe parte dell’infrastruttura AI integrata nel browser. In particolare, Gemini Nano è il modello “on-device” di Google: un sistema progettato per elaborare alcune funzioni direttamente sul computer, senza inviare tutto ai server cloud.

Tra le funzionalità supportate ci sarebbero:

• suggerimenti di scrittura;
• riassunti automatici;
• protezione da truffe online;
• organizzazione intelligente delle schede;
• strumenti AI sperimentali integrati in Chrome.

L’obiettivo dichiarato è migliorare privacy e velocità di elaborazione, ma la scelta di scaricare diversi gigabyte senza notifiche chiare ha acceso molte polemiche.

Perché la questione sta facendo discutere

Le critiche non riguardano tanto l’esistenza del modello AI, quanto il modo in cui viene distribuito. Diversi ricercatori e siti specializzati sottolineano che molti utenti non sono consapevoli del download né del consumo di spazio generato dal browser.

Inoltre, eliminare manualmente il file spesso non basta: Chrome tende infatti a scaricarlo nuovamente al successivo avvio.

Google ha però precisato che il modello può essere disattivato e rimosso tramite le impostazioni dedicate all’AI locale, introdotte nelle versioni più recenti del browser.

Si può rimuovere?

Sì, ma è necessario prima disabilitare le funzioni AI locali del browser altrimenti eliminarlo serve a poco, perchè viene scaricato di nuovo in automatico. Per impedirlo è necessario agire sui flag (chrome://flags), cercando nello specifico quello relativo a Enables optimization guide on device (chrome://flags/#optimization-guide-on-device-model). Insomma, non è un’operazione intuitiva né alla portata di tutti.

Disattivando queste funzioni (per ora...), il browser dovrebbe smettere di reinstallare automaticamente il modello AI, Attendiamo spiegazioni ufficiali da Google!

Dettagli

Will

News

07 Maggio 2026

Visite: 13

Si chiama CopyFail la grave vulnerabilità che interessa diverse versioni del kernel Linux e può permettere a un utente con permessi limitati di ottenere privilegi completi sui sistemi esposti. Il problema riguarda un’ottimizzazione introdotta nel kernel Linux nel 2017. Il bug è identificato ufficialmente come CVE-2026-31431 e, secondo il governo statunitense, sarebbe già sfruttato in attacchi reali. Alla luce del rischio per le reti federali, la Cybersecurity and Infrastructure Security Agency ha ordinato a tutte le agenzie civili federali di installare le patch sui sistemi interessati entro il 15 maggio.

La vulnerabilità era stata segnalata al team di sicurezza del kernel Linux alla fine di marzo ed è stata corretta dopo circa una settimana, ma le patch non sono ancora arrivate in modo uniforme a tutte le distribuzioni che utilizzano il kernel vulnerabile. Questo significa che molti sistemi potrebbero essere ancora esposti, soprattutto in ambienti aziendali, cloud e data center, dove Linux è alla base di una parte rilevante dell’infrastruttura informatica.

L’aspetto più delicato è che il codice exploit è stato pubblicato dai ricercatori di sicurezza, rendendo più semplice per altri soggetti testare o sfruttare la falla. La pagina dedicata a CopyFail sostiene che un breve script Python sarebbe in grado di ottenere i privilegi di root su numerose distribuzioni Linux moderne, a condizione che siano basate su un kernel vulnerabile e non ancora corretto. Secondo Theori, la società che ha scoperto la vulnerabilità, il bug è stato verificato su diverse distribuzioni molto diffuse, tra cui Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023 e SUSE 16.

CopyFail prende il nome dal comportamento anomalo di un componente del kernel Linux. In sostanza, questo componente non copierebbe alcuni dati quando dovrebbe farlo, causando la corruzione di informazioni sensibili al suo interno. Da qui nasce la possibilità, per un attaccante, di sfruttare i privilegi del kernel per accedere al resto del sistema.

Il problema principale è che la vulnerabilità consente a un utente normale, con permessi limitati, di ottenere privilegi di amministratore su un sistema esposto. In un computer personale sarebbe già un problema serio, ma in un server aziendale o in un data center il rischio diventa molto più esteso. Un attacco riuscito potrebbe permettere di accedere ad applicazioni, server e database collegati al sistema compromesso, con possibili movimenti successivi all’interno della stessa rete.

Il DevOps engineer e sviluppatore, Jorijn Schrijvershof, ha scritto che l’exploit funziona anche su versioni Debian e Fedora, oltre che in ambienti Kubernetes basati su kernel vulnerabili. Schrijvershof ha descritto CopyFail come una vulnerabilità con un raggio d’impatto insolitamente ampio, proprio perché potrebbe coinvolgere molte distribuzioni Linux moderne non ancora aggiornate.

CopyFail non può essere sfruttata direttamente da remoto attraverso Internet, almeno non da sola. Questo dettaglio è importante, perché evita di descrivere il bug come una falla immediatamente utilizzabile contro qualunque server esposto online. Il rischio, però, resta alto se la vulnerabilità viene combinata con un altro exploit capace di raggiungere il sistema da remoto.

Secondo Microsoft, se CopyFail viene concatenata con un’altra vulnerabilità sfruttabile via Internet, un attaccante può usarla per ottenere accesso root su un server colpito. Un utente Linux con kernel vulnerabile potrebbe inoltre essere indotto ad aprire un link o un allegato malevolo progettato per attivare l’exploit.

Un altro rischio riguarda la catena di sviluppo del software. In questo scenario, un gruppo malevolo potrebbe compromettere l’account di uno sviluppatore open source e inserire codice dannoso in un progetto legittimo, con l’obiettivo di raggiungere molti sistemi attraverso software apparentemente affidabile.

Debian ha già rilasciato i fix per i vari kernel partendo dalla versione 11 alla 13:
https://security-tracker.debian.org/tracker/CVE-2026-31431

Dettagli

Will

News

15 Aprile 2026

Visite: 35

Un gruppo di hacker legati al governo russo starebbe attaccando e compromettendo migliaia di router domestici e di piccoli uffici in tutto il mondo, reindirizzando il traffico Internet delle vittime per sottrarre password e token di accesso. L'operazione, attribuita al gruppo APT28 (noto anche come Fancy Bear), è stata confermata dai ricercatori di sicurezza britannici del NCSC e dai Black Lotus Labs.

L'attacco sfrutta vulnerabilità note in router MikroTik e TP-Link, molti dei quali non aggiornati o con firmware obsoleto. Una delle falle più sfruttate è la CVE‑2023‑50224, che consente a un aggressore non autenticato di ottenere informazioni sensibili tramite richieste HTTP manipolate.
Milioni di dispositivi non hanno mai ricevuto la patch, rendendoli un bersaglio ideale.
Il metodo principale utilizzato è il DNS hijacking: modificando le impostazioni DNS del router, gli hacker reindirizzano le richieste degli utenti verso server controllati dall'infrastruttura russa. Le vittime vengono così indirizzate a pagine di login falsificate, identiche a quelle reali, dove inseriscono inconsapevolmente le proprie credenziali.

Questa tecnica ha già permesso agli attaccanti di intercettare password, token OAuth e altri dati sensibili, aggirando anche l'autenticazione a due fattori. In molti casi, il router continuava a funzionare normalmente, rendendo l'intrusione invisibile agli utenti. Secondo le analisi, la campagna ha finora compromesso almeno 18.000 router in circa 120 Paesi, colpendo enti governativi, forze dell'ordine, provider email e infrastrutture critiche per lo più in Africa, Nord Africa, America Centrale e Sud‑Est asiatico. Microsoft ha confermato che oltre 200 organizzazioni e 5.000 dispositivi consumer risultano coinvolti, inclusi ministeri degli esteri e agenzie governative in Africa. L'azienda ha pubblicato un rapporto tecnico che descrive come i router compromessi propaghino le impostazioni DNS malevole a tutti i dispositivi collegati alla rete locale.

Il gruppo APT28, collegato al servizio di intelligence militare russo GRU, è noto per operazioni di spionaggio ad alto profilo, tra cui l'attacco al Comitato Nazionale Democratico statunitense nel 2016 e il sabotaggio ai sistemi satellitari Viasat nel 2022. La campagna sui router rappresenta un'evoluzione strategica: invece di colpire server governativi protetti, si punta ai dispositivi periferici, spesso trascurati e privi di monitoraggio. Le autorità statunitensi e britanniche hanno avviato operazioni coordinate per smantellare l'infrastruttura utilizzata dagli hacker.
L'FBI è attesa annunciare il sequestro di diversi domini impiegati per il reindirizzamento del traffico, mentre partner internazionali hanno collaborato per disattivare server e VPS utilizzati come nodi della rete malevola.