Posts on Jacopo Jannone - blog https://blog.jacopo.io/it/post/ Recent content in Posts on Jacopo Jannone - blog Hugo -- gohugo.io it © 2018-2024 Jacopo Jannone Sat, 26 Oct 2024 00:00:00 +0000 [Video] Exploring and Exploiting an Android “Smart POS” Payment Terminal https://blog.jacopo.io/it/post/smart-pos/ Sat, 26 Oct 2024 00:00:00 +0000 https://blog.jacopo.io/it/post/smart-pos/ <p>In this talk from No Hat 2024, I go through my exploration and reverse engineering of one of the most popular “Smart POS” credit card terminals currently in use worldwide. I present the research process that led me to the discovery of multiple software vulnerabilities, ultimately granting me persistent root access to the device&rsquo;s operating system.</p> Analisi dei biglietti magnetici usati per i trasporti in Lombardia https://blog.jacopo.io/it/post/sbme-dm/ Tue, 04 Jan 2022 00:00:00 +0000 https://blog.jacopo.io/it/post/sbme-dm/ <p>Una banda magnetica su un biglietto usa e getta potrebbe sembrare una cosa piuttosto noiosa e poco degna di essere studiata. Ogni tanto però la curiosità prevale, una scoperta tira l&rsquo;altra e in men che non si dica ci si trova a viaggiare non per lavoro o per diletto, ma per accumulare biglietti da analizzare. Ecco tutto ciò che ho scoperto sul mondo che c&rsquo;è dietro.</p> SPID e Google Authenticator: quando l'interoperabilità viene ostacolata di proposito https://blog.jacopo.io/it/post/spid-google-authenticator/ Tue, 09 Mar 2021 00:00:00 +0000 https://blog.jacopo.io/it/post/spid-google-authenticator/ <p>La maggior parte dei provider SPID supporta l&rsquo;autenticazione a due fattori tramite un&rsquo;app che genera codici OTP. Ogni provider ha la propria app, incompatibile con le app degli altri provider e con quelle &ldquo;universali&rdquo; come Google Authenticator. Peccato che, dietro le quinte, tutte le app usino lo stesso algoritmo e che l&rsquo;incompatibilità sia puramente artificiale.</p> È vero che Apple traccia ogni app che apri? Uno sguardo tecnico https://blog.jacopo.io/it/post/apple-ocsp/ Sat, 14 Nov 2020 00:00:00 +0000 https://blog.jacopo.io/it/post/apple-ocsp/ <p>Apple&rsquo;s launch of macOS Big Sur was almost immediately followed by server issues which prevented users from running third-party apps on their computers. While a workaround was soon found by people on Twitter, others raised some privacy concerns related to that issue.</p> Vulnerabilità nell'app di ATM Milano https://blog.jacopo.io/it/post/atm-app-vulnerability/ Tue, 18 Aug 2020 00:00:00 +0000 https://blog.jacopo.io/it/post/atm-app-vulnerability/ <p>Una serie di errori di progettazione nell&rsquo;app di ATM Milano permetteva a chiunque di accedere ai dati e ai biglietti degli utenti semplicemente conoscendone l&rsquo;indirizzo e-mail. Nel frattempo, alcune apparenti misure di sicurezza rendevano le vulnerabilità meno facili da individuare e da sfruttare.</p> Reverse engineering dell'app di Trenitalia https://blog.jacopo.io/it/post/trenitalia-reverse-engineering/ Mon, 24 Sep 2018 00:00:00 +0000 https://blog.jacopo.io/it/post/trenitalia-reverse-engineering/ <p>Trenitalia ha da poco rilasciato la nuova versione della sua app per iOS e Android. Avendo già avuto a che fare con i meravigliosi sistemi informatici delle Ferrovie dello Stato per lo sviluppo di <a href="https://trenitbot.jacopo.io" target="_blank"><strong>TrenItBot</strong></a> e per altri progetti, una sbirciata anche qui non poteva mancare.</p>