Si ci sta eh, ma fidati che questo non mitiga il rischio, lo scrive anche Google
Tant’è che il SQLite di Firefox non è criptato, si affida al FDE del SO. Forse anche i cookie di Safari non lo sono (son certo che non sono in SQLite ma in formato binario) e fan affidamento a FileVault
mica vero 
mapporc 
Il modello sandbox di iOS una spanna sopra tutto per L utente average dato che protegge da questo tipo di attacchi naturalmente.
Ovvio che ha i suoi trade-off ma per la maggior parte degli utenti è il default giusto
Evidentemente macOS no 
La crittografia dei dati è utile per proteggere i dati “at rest”, è inutile che ci giriamo intorno.
Qualsiasi tecnologia tu utilizzi per cercare di proteggere una chiave di cifratura (keychain, wallet etc), è valida fin tanto che non hai codice attivo che gira sulla macchina.
Se quello che ti preoccupa è l’esfiltrazione della chiave di signal: se il sistema è spento il disco deve essere crittografato.
Se il sistema è acceso e hai un software malevolo che ci gira sopra, ovunque tu cerchi di tenere la chiave, questa prima o poi è esfiltrabile.
E poi comunque se sei davvero preoccupato per la privacy no usi signal, non usi android, non usi iOS.
Ma veramente c’è ancora chi crede che la crittografia E2E su mobile sia sufficiente a rendere le conversazioni private? e poi private da chi? da chi è in mezzo sulla rete sì, ma da chi ti è sul device proprio per niente.
E il sistema operativo stesso non è che sia proprio così “privacy oriented”. Come pensate che facciano android o iOS a mostrarvi le belle notifiche a schermo con la preview del messaggio che viene ricevuto su signal? e magari anche a proporvi la risposta rapida in base a quello che c’è scritto.
dai su, siamo seri.
Finding di oggi: sono riuscito a corrompere i voti di altre persone nell e-voting system di un paese EU
Questo governo non paga molto, $3K per una critical, ma ci ho impiegato circa sei ore quindi non troppo male :D
Io non sono del campo ma una vulnerabilità che permette di alterare le elezioni mi sembra una roba un filino importante per pagare solo 3k
Purtroppo e’ la realta’ con i programmi di governi :( Almeno questo paga qualcosa, molti programmi di governi sono soltanto dei VDP (Vulnerability Disclosure Program) e non pagano niente.
in Italia ti becchi la denuncia
che vuoi dire?
magari è uguale anche in altri paesi dove non c’è una bounty aperta, ma ricordo che avvisati da un White hat di una falla, han pensato bene di voler denunciare.
era una cosa di questi tipo
ok. se il problema e’ stato trovato senza permesso e’ una altra cosa
Sostanzialmente lui ha scritto “hey guardate che ho trovato una falla grande come una voragine nel vostro sistema. Risolvete in fretta”.
Il M5s lo ha denunciato. (e la storia è stata comunque lunga poi)
Ho capito, ma se non aveva il permesso per fare testing non mi sorprende che l’azienda o partito non e’ stato contento. Purtroppo e’ spesso cosi’ se trovi un bug senza esplicito consenso.
Riguardo al voto elettronico:
Video vecchi (di 9 e 4 anni fa rispettivamente) ma sempre attuali.