La crescente diffusione e sofisticazione dei malware per dispositivi mobili, negli ultimi anni, ha reso gli smartphone un obiettivo primario per i cybercriminali. Lo scorso anno, l’espansione di codici malevoli per dispositivi Android ha registrato numeri preoccupanti: secondo Kaspersky, sono stati bloccati oltre 33,8 milioni di attacchi tra malware, adware e riskware, con un aumento delle minacce legate ai trojan bancari e altre forme di malware pensati per il mobile. Quelli per Android si stanno evolvendo rapidamente, passando da semplici adware e a soluzioni più insidiose e difficili da rilevare, capaci di eludere le difese degli utenti più esperti. Uno dei più recenti e preoccupanti è TrickMo nelle sue ultime varianti, un trojan che ha attirato l’attenzione delle comunità di esperti di sicurezza per l’aggiornamento delle sue capacità che lo rendono ancora più pericoloso.

VECCHIA CONOSCENZA

È stato documentato per la prima volta dagli specialisti della divisione sicurezza di IBM X-Force nel 2020. Di recente, invece, la società di sicurezza informatica Cleafy ha rivelato che TrickMo è stato aggiornato con nuove funzionalità, tra queste, l’intercettazione di, OTP, la registrazione dello schermo, l’esfiltrazione dei dati e la possibilità di lanciare attacchi, in gergo overlay, col fine di proporre all’utente delle false schermate in cui inserire le credenziali, tra queste il PIN utilizzato per sbloccare lo smartphone.
Un’evoluzione che ha reso TrickMo molto pericoloso, poiché non solo sottrae informazioni sensibili ma, potenzialmente, apre anche la porta a ulteriori attacchi, come l’accesso non autorizzato ai conti bancari, il furto di dati di accesso a servizi online e la compromissione della privacy. Gli esperti di Zimperium hanno stimato che le vittime del malware siano oltre 13mila, con la diffusione che avviene principalmente tramite phishing.
Per ridurre al minimo il rischio di infezione, si raccomanda di evitare il download di file APK da URL sospette. Fortunatamente, Google Play Protect (la funzionalità di sicurezza integrata nei dispositivi Android che serve a proteggere smartphone o tablet da applicazioni dannose) dovrebbe essere in grado di rilevare e bloccare tutte le varianti conosciute, ma è possibile che ne esistano altre non ancora documentate.

Google Play Protect permette di analizzare tutte le applicazioni presenti sui telefoni Android e impedisce l’installazione di malware o app dannose.

COME FA A RUBARE IL TELEFONO

La variante di TrickMo che consente a un cybercriminale di rubare il PIN dello smartphone della vittima, induce l’utente a inserire il codice su una schermata che sembra proprio quella del sistema operativo del telefono. Nello specifico, durante la navigazione Web, il sistema visualizza a schermo intero una pagina HTML, ospitata su un sito esterno, che imita alla perfezione l’interfaccia del sistema operativo per la richiesta del codice di sblocco; se l’utente, ignaro del pericolo, digita il PIN o la sequenza di sblocco, queste informazioni, insieme a un identificativo unico del dispositivo, vengono inviate così al server dell’attaccante tramite una richiesta HTTP di tipo POST. Grazie al PIN trafugato gli aggressori possono in seguito sbloccare il dispositivo, magari durante la notte quando non è monitorato, e così perpetrare i loro scopi malevoli.

Lo script malevolo che associa il PIN digitato dall’utente a un dispositivo Android specifico. Per farlo, utilizza il metodo getAndroidID, che fornisce un valore univoco identificativo dello smartphone.

VI CHIEDE DI AGGIORNARE GOOGLE PLAY SERVICES

TrickMo a è un’app definita in gerso “dropper” (spesso spacciata per il browser Google Chrome), distribuita tramite allegati e-mail infetti, download di software da fonti non sicure o applicazioni apparentemente legittime scaricate da siti web o store di app non ufficiali. Questa tenta di ingannare gli utenti e, se ci riesce, una volta installata, li invita ad aggiornare Google Play Services, il sistema responsabile del corretto funzionamento e dell’aggiornamento delle app sui dispositivi Android. Questo falso aggiornamento richiede il download di un file APK che contiene il payload TrickMo, mascherato da servizio di Google, chiedendo all’utente, ignaro del pericolo, di attivare i servizi di accessibilità per la nuova app. Questa operazione conferisce un controllo esteso sullo smartphone, inclusa la possibilità di disabilitare funzioni di sicurezza, impedire aggiornamenti di sistema e rimuovere app specifiche. Ciò permette al cybercriminale di intercettare messaggi SMS, manipolare le notifiche per nascondere o leggere codici di autenticazione e condurre attacchi con HTML overlay per sottrarre informazioni sensibili.

Leggi anche: “Scylla malware ha infettato milioni di utenti ios e android“

Fin dalla nascita del Web uno degli attacchi più comuni, consiste nel colpire il sito istituzionale. Ma non è che chi costruisce siti non lo sappia: esistono vari meccanismi per proteggere un portale da tentativi di defacciamento e soprattutto di Denial of Service. Alcune soluzioni sono generali, valgono più o meno per tutti i siti “importanti”, altre dipendono dall’infrastruttura e dal framework su cui si basa l’applicazione del sito Web. A questo proposito, i due framework più diffusi per i frontend, cioè proprio per i siti Web istituzionali non dinamici, sono Next.js e Vue.js. E il primo dei due sembra, per ora, avere più successo proprio con i siti più grandi, quelli che si aspettano di dover ricevere un maggiore numero di visitatori e magari avere una struttura più complessa. Naturalmente, anche un sito “statico”, è solitamente realizzato con un qualche CMS, che memorizza i contenuti del sito in un database. Soprattutto perché alcuni componenti possono essere modificati anche in tempo reale, per esempio da qualche automazione. Se, però, ogni volta che un utente visita una pagina del sito viene fatta una sfilza di query sul database per recuperare i contenuti e generare l’HTML da generare, il risultato è un carico notevole sul database stesso. Che può anche essere potente e replicato, ma per siti molto visitati diventa estremamente costoso e inefficiente. Per questo motivo, Next.js ha un meccanismo di caching lato server: i componenti React di ogni pagina vengono renderizzati direttamente dal server, che poi memorizza in locale l’HTML completo e fornisce ai vari client che lo interrogheranno direttamente la pagina già renderizzata. Almeno finché la cache non viene invalidata, in quel caso si costruisce di nuovo l’HTML aggiornato. Il vantaggio è che in questo modo gli unici client che insistono sull’infrastruttura più delicata (il backend e il database) sono le varie istanze del frontend, che al massimo saranno qualche decina o qualche centinaio. Ognuna di queste istanze frontend Next.js, con l’HTML renderizzato, può rispondere alle richieste contemporanee di migliaia di utenti. Quindi, se alla fine il traffico complessivo del sito è di milioni di utenti unici contemporanei, le richieste che arrivano al backend sono al massimo poche centinaia e comunque solo quando c’è bisogno di rifare la cache perché un contenuto è cambiato.
Tutto perfetto, quindi? Come si fa a colpire un sistema che è pensato proprio per reggere a un traffico enorme? In realtà, c’è un piccolo difetto di progettazione che può ritorcere il caching contro se stesso.

Next.js ha introdotto un fix per evitare l’auto-poisoning della cache, ma può essere bypassato da un malintenzionato. FONTE: https://github.com/

Un parametro ignorato

Next.js scambia tra client e server un blob binario, chiamato RSC (React Server Component), che serve al browser per sapere come aggiornare il DOM della pagina. Visto che questo blob proviene sempre dallo stesso URL, l’intestazione delle sue richieste HTTP contengono il valore
Rsc: 1 nel parametro Vary, così da da far sapere al browser che questo contenuto può cambiare e non va tenuto nella cache. Per ulteriore sicurezza, però, all’URL viene aggiunto un parametro GET del tipo:

_rsc=valorecasuale

In questo modo la richiesta HTTP risulta fatta, ogni volta, a un URL diverso, perché basta cambiare il valore casuale alla fine dell’URL per essere certi di bypassare la cache del browser o di una eventuale CDN posta davanti a Next.js (che poi si comporta come un browser). Il parametro _rsc è utilizzato come “cache buster”. La domanda da porsi è: perché serve questo parametro? Non bastava l’header Vary? Evidentemente no: Next.js finisce per “avvelenarsi” da solo, in un esempio di cache-poisoning da manuale. Se, infatti, le CDN non sanno di dover aggiornare la propria cache rischiano di continuare a mantenere dei contenuti non più validi, e se vengono indotte a mettere in cache qualcosa che non esiste da quel momento forniranno per sempre agli utenti un errore 404.
Il problema dell’header Vary è che molte CDN commerciali (Cloudflare, Cloudfront, o Akamai, per esempio) tendono a ignorarlo o comunque a rimuoverlo quando passano i contenuti ai browser. Questo significa che la pagina che arriva all’utente non ha questo header e rischia di non essere aggiornata correttamente. Non solo: per come funziona Next.js, è anche possibile spingere la CDN a memorizzare la cosa sbagliata e “rompere” il sito. Infatti, la logica di Next.js prevede che la prima volta che un client (il browser di un utente) raggiunge una pagina riceva l’HTML iniziale, e le volte successive ottenga il blob RSC per aggiornare solo il necessario, chiamando sempre lo stesso URL. Questo però significa che è possibile eseguire una richiesta al server Next.js togliendo il parametro _rsc e aggiungendo l’intestazione Rsc: il risultato è che la CDN memorizza, per l’URL base non l’HTML iniziale (che avrebbe senso tenere in cache) ma il blob binario. Sostanzialmente, il problema è che sono previste due modalità di accesso alla risorsa HTTP, che forniscono due output distinti, un HTML da tenere in cache e un blob da non conservare nella cache. Le due modalità si distinguono per i vari parametri che vengono passati nell’URL o nell’intestazione. Il problema è che se qualcuno costruisce una richiesta malevola, mescolando questi parametri, può convincere la CDN a tenere in cache il contenuto “sbagliato” (il blob) al posto del contenuto “giusto”. E il risultato è che i browser, alla fine, non sanno come interpretarlo e l’utente non vede il sito.

Con una serie di tentativi, è possibile indurre una CDN a memorizzare il blob RSC invece dell’HTML, rendendo il sito di fatto non accessibile. FONTE: https://zhero-web-sec.github.io/

Entità della vulnerabilità

Questo tipo di vulnerabilità è particolarmente subdola: il pericolo è che alcuni aspetti non dipendano nemmeno da chi sviluppa il sito, ma dal funzionamento della CDN. Se ci si rivolge a una CDN commerciale, non c’è sempre la garanzia che non cambi il modo di funzionare in futuro. Inoltre, se ci si dovesse accorgere che il proprio sito è vulnerabile a questo tipo di attacco non è facile modificarne il funzionamento per correggere il problema.

La soluzione

Il problema è legato a un “rimpallo” di responsabilità tra gli autori di Next.js e i progettisti delle CDN. Per Next.js, la responsabilità di interpretare l’intestazione Vary è dei client, quindi di browser e CDN. Per le CDN, la regola di fondo è che i contenuti diversi dovrebbero avere URL diversi a prescindere. L’unica soluzione reale è assicurarsi che la CDN di propria scelta non stia rimuovendo o rifiutando l’header Vary: alcune tra le CDN più famose rispettano questo header, ma solo nei piani a pagamento. In alternativa, si può porre davanti a Next.js un reverse proxy (es: nginx) configurato per mappare correttamente URL in modo da soddisfare le regole della CDN.

Leggi anche: “Una falla Mastodontica”

*illustrazione articolo progettata da Freepik

Kate è un editor di testo potente e versatile, progettato per gli sviluppatori e gli utenti che richiedono capacità avanzate. Parte del progetto KDE, permette di visualizzare e modificare più documenti contemporaneamente, con la possibilità di dividere l’interfaccia in orizzontale o verticale per un multitasking efficiente. Include una serie di estensioni integrate, come un terminale per l’esecuzione dei comandi, un’estensione SQL per la gestione dei
database, il supporto alla compilazione del codice e l’integrazione GDB per le funzionalità di debug. Supporta vari formati di codifica del testo, tra cui Unicode, e offre un rendering bidirezionale del testo, rilevando automaticamente le terminazioni di riga in diversi sistemi operativi e aprendo in maniera fluida i file remoti. Strumenti di editing
avanzati migliorano la navigazione e la gestione del codice all’interno di documenti di grandi dimensioni,
grazie a un robusto sistema di segnalibri, marcatori di scorrimento, indicatori di modifica delle righe e numerazione delle linee. Con l’evidenziazione della sintassi per oltre 300 linguaggi di programmazione, Kate migliora la leggibilità del codice e il rilevamento degli errori grazie alla corrispondenza delle parentesi e al controllo ortografico intelligente. Include inoltre potenti funzionalità di ricerca, come quella incrementale che mostra i risultati durante la
digitazione, la ricerca e la sostituzione su più righe, le espressioni regolari e le operazioni in batch per la ricerca e la sostituzione su più file aperti o presenti su un disco.

Leggi anche: “I migliori Open Source: Thiling Shell 12.2“

Il Bluetooth diventa grande: è arrivata la versione 6.0 che porta l’intelligenza nella connettività. Infatti, il mondo della connettività wireless a breve raggio (praticamente la USB-C senza fili) sta per compiere un significativo passo avanti. Il Bluetooth SIG (Special Interest Group) ha infatti annunciato lo standard Bluetooth 6.0, che introduce funzionalità innovative per la localizzazione degli oggetti e l’ottimizzazione dei consumi energetici.

Più precisione sempre

La novità più rilevante è il Channel Sounding, una tecnologia che permette di rilevare la posizione dei dispositivi con precisione millimetrica sulle brevi distanze e centimetrica fino a 150 metri. Il sistema utilizza due metodi: il Phase-Based Ranging (PBR) per le misurazioni ravvicinate e il Round-Trip Timing (RTT) per quelle a lungo raggio.
Le applicazioni pratiche sono molteplici: dal tracciamento preciso di oggetti smarriti mediante tag alla gestione di chiavi digitali per auto e hotel con un livello di sicurezza superiore contro gli attacchi informatici. La precisione del posizionamento, infatti, rende più difficile intercettare e replicare i segnali di sblocco.

Perché è importante la nuova generazione di Bluetooth? Almeno per cinque motivi. C’è il nuovo tracciamento oggetti con precisione al centimetro, ma anche la maggiore sicurezza per chiavi digitali. Ancora, la durata batteria estesa per dispositivi IoT (dalle cuffie senza fili ai localizzatori tipo AirTag). L’Audio wireless diventa più affidabile e ovviamente le connessioni tra dispositivi sono più veloci.

Miglioramenti energetici

L’altra innovazione fondamentale riguarda l’efficienza energetica. Il Decision-Based Advertising Filtering ottimizza la ricerca e la connessione tra dispositivi, mentre il Monitoring Advertisers riduce il consumo di risorse in quelli già connessi. Queste tecnologie risultano particolarmente utili per dispositivi indossabili e oggetti dell’Internet of Things.
Lo standard introduce anche miglioramenti nella gestione della latenza attraverso l’ISOAL Enhancement, cruciale per auricolari wireless e dispositivi di realtà aumentata. Il nuovo LL Extended Feature Set, inoltre, permette ai dispositivi di scambiarsi informazioni sulle funzionalità supportate, ottimizzando la compatibilità.
I primi dispositivi compatibili con il Bluetooth 6.0 dovrebbero arrivare sul mercato nel corso di questo 2025. Nel frattempo, Google ha già integrato il supporto per il Channel Sounding in Android 15, preparando il terreno per questa evoluzione tecnologica.

Leggi anche: “Hacking bluetooth Tesla: bug serratura digitale”

*illustrazione articolo progettata da Freepik

La trentaseiesima edizione di e-privacy si terrà in presenza e in videoconferenza il 22 e 23 maggio a Bari.

Per chi non conoscesse questo convegno, si tratta di un’occasione in cui, da sempre, si sono confrontate le tematiche di un mondo sempre più digitale ed interconnesso, nel quale le possibilità di comunicazione e l’accesso alla conoscenza crescono continuamente, come pure crescono le possibilità di tecnocontrollo degli individui sin nei più intimi dettagli. L’approccio è interdisciplinare; dagli specialisti in informatica ai legali che si occupano di nuove tecnologie, dagli psicologi agli educatori, dagli operatori privati a quanti operano nel settore pubblico ed istituzionale.

Call for Paper

Ecco di seguito il tema di quest’anno, con i termini per presentare il tuo speech!

La raccolta di dati personali non è un fenomeno recente. Già dal Concilio di Trento (1563) si registrarono in modo sistematico i passaggi fondamentali della vita di un individuo: nascita, matrimonio, morte. Nel tempo, gli archivi si sono ampliati fino a includere informazioni sensibili come dati sanitari, casellari giudiziari e movimenti bancari.

Oggi, con strumenti come l’ANPR (Anagrafe Nazionale della Popolazione Residente), l’intera vita di una persona è raccolta in un unico spazio digitale, accessibile da qualunque parte del mondo. Ma cosa succede quando questi dossier vengono utilizzati in modi non trasparenti?

I rischi sono molteplici: dall’accesso non autorizzato ai dati alla creazione di profili dettagliati su ogni cittadino, sfruttabili da aziende, datori di lavoro e persino regimi autoritari. Se non si ha più accesso ai propri dati digitali, si rischia di perdere traccia di documenti fondamentali, con conseguenze serie per la propria vita professionale e privata.

In questo contesto, il GDPR rappresenta ancora uno strumento efficace per la tutela della privacy o è diventato un’illusione inefficace?

Se hai un’idea, un’analisi o un’esperienza da condividere su questi temi, proponi il tuo intervento per e-Privacy XXXVI entro il 28 marzo 2025 (riceverai l’accettazione o meno della proposta entro il 7 aprile 2025).
La conferenza è lo spazio perfetto per discutere delle sfide della privacy digitale e del futuro della protezione dei dati.

Invia la tua proposta di intervento tramite il form: https://e-privacy.winstonsmith.org/e-privacy-XXXVI-proposta.html

Non perdere l’occasione di contribuire a un dibattito cruciale sulla sicurezza e la libertà digitale!

Voyager è una distribuzione francese basata su Ubuntu, progettata per offrire un ambiente desktop versatile e personalizzabile. La sua filosofia si basa sull’offrire un’ampia gamma di opzioni a utenti con esigenze diverse, mantenendo un aspetto grafico fluido e attraente. La versione 24.10 introduce una combinazione unica degli
ambienti desktop GNOME 47 e Xfce 4.19, permettendovi di scegliere tra i due durante la sessione. Questa release si
basa sul kernel Linux 6.11 e, come il nome suggerisce, Ubuntu 24.10 e presenta un’interfaccia rinnovata, caratterizzata da uno stile colorato e moderno. Il suo obiettivo è di offrire un sistema operativo leggero, veloce, moderno, fluido, sicuro ed efficiente, adatto sia per PC sia per tablet.

Voyager offre una grafica esteticamente piacevole e delle buone prestazioni, oltre alla scelta tra due ambienti desktop con le rispettive dotazioni software

Due ambienti desktop in uno

I due desktop sono ben distinti e le rispettive applicazioni sono per lo più invisibili in entrambi gli ambienti, evitando rischi di confusione o interferenze. Xfce ha i pacchetti minimi di base dell’ambiente desktop, il file manager Thunar, il launcher Synapse, Mousepad per il testo e qualche altra applicazione, oltre a un profilo speciale per il gaming, mentre GNOME è più ricco.
Dopo l’installazione, potete anche rimuovere completamente uno dei due ambienti. Inoltre, se volete vedere le applicazioni nascoste per eliminarle e fare spazio sulla macchina, potete intervenire da terminale con i comandi:
thunar ~/.local/share/applications
nautilus ~/.local/share/applications

L’ambiente Xfce ha una selezione di software minimalista anche se include un profilo per i videogiochi, mentre la versione Gnome (nella foto) ha una scelta maggiore di software

La distribuzione si può anche avviare Live da un supporto esterno, se volete provarla senza l’installazione. Voyager 24.10 è una release intermedia con un ciclo di aggiornamenti di 9 mesi, mentre le versioni LTS (Long Term Support) della distro, come la 24.04 LTS disponibile sul sito, offrono un supporto esteso di 5 anni. Nel complesso, il fatto di essere una distribuzione di nicchia con un team di sviluppo più ristretto di quelle mainstream si rivela, per esempio, nella documentazione un po’ confusa offerta sul sito e nell’assenza di una community molto estesa, ma Voyager è un progetto interessante dall’approccio originale che offre ottime opzioni di personalizzazione e che vale la pena di conoscere.

Leggi anche: “rlxos 2.0 Sankalpa: distro sicura e affidabile“

Una cosa che apprezzeranno soprattutto i neofiti dei sistemi operativi basati su Linux è l’estrema facilità di installazione e di configurazione di Fedora 41. Come vedrete nella prossima guida, una volta scelta la lingua e il disco rigido, o una sua partizione, tutto il resto viene automaticamente impostato dal programma di installazione. Successivamente, il sistema operativo vi proporrà una breve serie di scelte, come la configurazione della privacy,
dopodiché potrete iniziare a usare Fedora 41.

Cosa c’è di nuovo?

Quest’ultima versione del progetto sponsorizzato da Red Hat, denominata Silverblue, si rivolge a un pubblico molto vasto dal punto di vista dell’esperienza informatica, ma non dimentica chi non possiede un computer particolarmente aggiornato. Per esempio, vengono abilitati in modalità predefinita gli aggiornamenti automatici del bootloader, non solo per i sistemi UEFI, ma anche per quelli dotati del vecchio BIOS. Tra le novità più visibili
abbiamo, invece, l’adozione dell’ultima versione di GNOME, la 47, che rende l’esperienza utente molto più piacevole rispetto al passato, con un chiaro miglioramento delle prestazioni. Di conseguenza viene integrato il Terminale
Ptyxis, in grado di supportare il tema chiaro o scuro, selezionabile per questo sistema operativo. È stato anche integrato in modo predefinito il gestore di finestre Wayland, sebbene possa venire ancora abilitato manualmente il gestore X11, per chi lo preferisce. Ci sono anche novità di carattere più estetico che funzionale, come la possibilità di
personalizzare il colore delle interfacce di GNOME, potendo scegliere soluzioni alternative in modo semplice e pratico nella sezione Aspetto delle Impostazioni. Gli utenti con monitor a bassa risoluzione scopriranno, infine,
che è stato introdotto un supporto specifico per migliorare la loro esperienza.

Muoversi in Fedora

L’ambiente desktop che viene visualizzato all’avvio del sistema operativo mostra un’area di lavoro principale, una secondaria di lato, la dash in basso e un pulsante in alto a sinistra. Il calendario è in alto al centro, mentre in alto a
destra c’è il menu con i controlli principali. Facendo clic sul pulsante in alto a sinistra si visualizza l’area di lavoro a schermo intero, tuttavia se volete usare la dash dovrete fare nuovamente clic su quel pulsante. La dash è personalizzabile con l’aggiunta dei lanciatori delle applicazioni che possono essere visualizzate premendo sul pulsante sulla destra, Mostra applicazioni. Oltre a questo, troviamo il lanciatore per Firefox, l’accesso diretto al
calendario e alle cartelle, un editor di testo e il collegamento allo store online (Software) dall’interfaccia ottimamente strutturata, per arricchire il sistema operativo con applicazioni aggiuntive. La dotazione base non è ricchissima ma vi fornisce gli strumenti più comuni come LibreOffice Calc, Impress e Writer. Anche il multimediale è discretamente coperto con i classici Rhythmbox e Video (Totem).

La procedura di installazione

Test e versione Live
Per essere certi che il vostro hardware sia compatibile con il sistema operativo, nel GRUB lasciate selezionata l’opzione Test this media & start Fedora… e premete INVIO. Al termine del controllo, verrà caricata la versione Live del sistema operativo. Qui fate clic sul pulsante azzurro Install Fedora.

Lingua e partizionamento
Nell’elenco di sinistra della schermata di benvenuto, selezionate Italiano e in quello a destra Italiano (Italia). Fate
clic su Continua, quindi su Destinazione installazione. Qui selezionate il disco rigido su cui installare il sistema operativo e premete su Fatto in alto a sinistra.

Installazione
Nella schermata Riepilogo Installazione fate clic su Avvia installazione. Ora non vi resta che aspettare che la procedura finisca, dopodiché premete su Termina l’installazione. Riavviate il sistema operativo, assicurandovi di avere rimosso il dispositivo con il file ISO di installazione.

Inizio della configurazione
Quando il sistema operativo è pronto, fate clic su Avvia configurazione. Nella schermata Privacy, se volete, premete sugli interruttori delle due opzioni presenti per disattivarle. Poi fate clic su Successiva. Nella nuova schermata, premete su Abilita repository di terze parti e poi su Successiva.

Creazione dell’account
Nella schermata Informazioni personali, digitate nel primo campo il vostro nome utente e fate clic su Successiva. Poi digitate una password sicura e ripetetela nel campo sottostante. Fedora vi avvertirà nel caso sia troppo debole. Premete su Successiva e poi su Inizia a usare Fedora Linux per terminare la configurazione.

Aggiornamenti
A questo punto Fedora 41 vi invita a compiere il tour del sistema operativo. Per evitarlo fate clic su Ignora. Ora premete al centro per attivare la vostra area di lavoro. Quando appare l’avviso della presenza di aggiornamenti, fate clic su di esso e poi su Riavvia e aggiorna, quindi su Riavvia e installa.

Leggi anche: “Fedora 39 Workstation è qui“