Tutto orecchi: i pericoli degli assistenti vocali

28 Feb 2017

Oggi il proverbio “anche i muri hanno le orecchie” non è così metaforico come lo era un tempo.

“Il teleschermo riceveva e trasmetteva contemporaneamente. Se Winston avesse emesso un suono anche appena appena più forte di un bisbiglio, il teleschermo lo avrebbe captato…Naturalmente, non era possibile sapere se e quando si era sotto osservazione”. È questa la descrizione fatta da George Orwell dei dispositivi di spionaggio del Grande Fratello nel suo romanzo “1984”.

All ears: The dangers of voice assistants

Cosa succederebbe se non fosse solo il Grande Fratello a poter usare il teleschermo ma potesse farlo anche chiunque in possesso delle competenze adeguate? E cosa succederebbe se quel teleschermo venisse utilizzato non solo per la propaganda politica ma anche per trasmettere pubblicità personalizzata: ad esempio, vi lamentate con il vostro coniuge del mal di testa e vedete immediatamente uno spot di un antidolorifico? Non si tratta più della trama di un romanzo distopico; è quasi realtà (forse è un po’ futuristico ma ha tante opportunità di diventare reale nel prossimo futuro).

Siamo già circondati da aspiranti teleschermi e le loro nuove funzionalità (come gli assistenti vocali) possono diventare nuove minacce.

Gli assistenti virtuali come Apple Siri si trovano sugli smartphone, sui tablet e sui portatili oppure sui dispositivi fissi come gli altoparlanti di Amazon Echo o di Google Home. La gente utilizza questi dispositivi per accendere o spegnere la musica, controllare le previsioni meteo, modificare la temperatura della stanza, ordinare prodotti in rete e fare molte altre cose.

Questi attenti microfoni possono arrecare danni? Certo. La prima cosa che mi viene in mente è la fuga di dati personali e aziendali. Ma ce n’è un’altra che può far guadagnare molti soldi ai cybercriminali: dettate i numeri delle carte di credito e le password uniche quando compilate i moduli online sui siti?

Gli altoparlanti intelligenti sono in grado di interpretare le voci anche in ambienti rumorosi o con la musica ad alto volume. Non c’è bisogno nemmeno di parlare in maniera chiara per essere compresi: per esperienza personale vi dico che l’assistente vocale di Google di un comune tablet Android a volte comprende un bambino di tre anni meglio degli stessi genitori.

Ecco un paio di storie che potranno sembrare divertenti e preoccupanti allo stesso tempo. Riguardano tutte diversi assistenti vocali e gadget intelligenti. Gli autori di fantascienza hanno sempre sognato di avere macchine con cui poter parlare, ma nemmeno loro avrebbero potuto immaginare che situazioni del genere sarebbero potute diventare realtà.

La ribellione degli altoparlanti

A gennaio 2017, a San Diego in California il canale CW6 ha mandato in onda un interessante servizio sulle vulnerabilità degli altoparlanti di Amazon Echo (dotati dell’assistente virtuale Alexa).

Gli ospiti del programma hanno spiegato che il sistema non è in grado di distinguere le persone dalla voce e questo fa in modo che Alexa segua gli ordini di chiunque sia nei suoi dintorni. Di conseguenza, i bambini hanno iniziato ad effettuare acquisti imprevisti online senza sapere la differenza che esiste tra chiedere ai propri genitori qualcosa da mangiare e chiedere un giocattolo ad Alexa.

Poi uno degli ospiti ha detto in diretta: “Amo quella bambina che dice che Alexa le ha ordinato una casa delle bambole”. Le lamentele non hanno tardato ad arrivare. Tutti i cittadini di San Diego hanno segnalato acquisti spontanei di case delle bambole effettuate dai loro assistenti vocali. Alexa ha interpretato una frase pronunciata alla TV come un ordine e l’ha subito compiuto.

Amazon ha assicurato che le vittime di “ribellione Intelligenza Artificiale” avrebbero potuto cancellare i propri ordini senza pagare nulla.

Gadget sotto giuramento

I gadget che possono ascoltare sono ancora più preziosi per le forze dell’ordine in quanto (generalmente) sono in grado di ripetere quello che hanno già ascoltato una volta. Ecco una storia avvenuta in Arkansas nel 2015.

Quattro uomini hanno organizzato una festa. Hanno guardato le partite di calcio, hanno bevuto, si sono rilassati nella vasca idromassaggio (niente di strano). Il mattino successivo il proprietario di casa ha trovato il corpo senza vita di uno dei suoi invitati nella vasca. È diventato immediatamente il principale sospettato, dal momento che gli altri invitati sostenevano di esser andati via prima dell’incidente.

I detective hanno notato la presenza di tanti dispositivi intelligenti in casa: sistemi di illuminazione e di allarme, una stazione meteo (e Amazon Echo). La polizia ha deciso di controllarli. I detective speravano di ottenere nel migliore delle ipotesi le registrazioni vocali effettuate la notte dell’omicidio. Hanno chiesto ad Amazon di condividere i dati, ma l’azienda avrebbe rifiutato di farlo.

Gli sviluppatori di Amazon sostengono che Echo non registra tutto il tempo suoni ma lo fa solo quando l’utente pronuncia la parola chiave (che per default è Alexa). L’ordine è poi registrato sui server dell’azienda per un periodo di tempo limitato. Amazon afferma che tutto questo viene fatto solo per migliorare il servizio clienti e che gli utenti possono eliminare manualmente tutte le registrazioni nelle impostazioni del proprio account.

Ad ogni modo, i detective hanno trovato un altro dispositivo da cui era possibile trovare indizi. Hanno messo agli atti la testimonianza di un…contatore dell’acqua intelligente. Nelle prime ore del mattino, dopo la morte della vittima, era stata apparentemente utilizzata un’esorbitante quantità d’acqua. Il padrone di casa sosteneva di dormire in quel momento. Gli investigatori hanno sospettato che l’acqua fosse stata utilizzata per rimuove le tracce di sangue.

È importante notare che le indicazioni del contatore intelligente sembravano non essere precise. Oltre alla grande quantità d’acqua utilizzata nel cuore della notte, il contatore ha evidenziato che il giorno della festa il consumo d’acqua non superava i 40 litri all’ora. Con queste quantità però risulta impossibile riempire una vasca idromassaggio. Il proprietario di casa sotto accusa ha rilasciato un’intervista a StopSmartMeters.org (sì, si tratta di un sito creato dagli hater dei contatori intelligenti); riteneva che l’orario che era stato impostato nel contatore fosse sbagliato.

Il tribunale esaminerà il suo caso quest’anno.

Assistenti virtuali nei film
(Attenzione, spoiler!)
Anche la moderna cultura di massa tratta con sospetto gli assistenti virtuali. Ad esempio, nel film Passengers il barista android Arthur svela il segreto di Jim Preston, rovinando la sua reputazione agli occhi della sua compagna Aurora. Nel film Proprio lui? l’assistente vocale Justine ascolta una conversazione telefonica del protagonista Ned Fleming e fa la spia.

L’automobile come strumento di intercettazione

Anche Forbes segnala un paio di casi interessanti in cui i dispositivi elettronici sono stati utilizzati contro i proprietari.

Nel 2011 l’FBI ha avuto il permesso della corte del Nevada di richiedere l’utilizzo delle tecnologia ATX per aiutarli a intercettare le comunicazioni in un’automobile privata. Le tecnologie ATX sviluppano e gestiscono i sistemi delle utilitarie che permettono ai proprietari dell’automobile di richiedere assistenza in caso di incidente stradale.

L’azienda ha soddisfatto la loro richiesta. Sfortunatamente, non sono stati pubblicati i dettagli tecnici; è stata pubblicata però la richiesta dell’FBI secondo cui una simile sorveglianza dovesse essere effettuata interferendo in minima parte con la qualità dei servizi fornita al sospettato. Sembra abbastanza possibile che l’intercettazione fosse stata realizzata tramite la linea di emergenza e che il microfono dell’auto fosse stato acceso in maniera remota.

Una storia simile è avvenuta nel 2007 in Louisiana. Il conducente o un passeggero di un’auto ha accidentalmente premuto il pulsante d’emergenza chiamano il servizio d’emergenza OnStar. L’operatore ha risposto alla chiamata ma, non ricevendo alcuna risposta, l’ha comunicato alla polizia. Ha provato poi a ricontattare le possibili vittime e ha ascoltato la conversazione che sembrava riguardare lo spaccio di droga. L’operatore ha fatto ascoltare il dialogo alla polizia e ha rilevato la posizione dell’automobile. Di conseguenza la polizia ha fermato l’auto e vi ha trovato marijuana al suo interno.

In questo caso, la difesa del conducente ha provato a invalidare la prova della polizia in quanto non vi era alcun mandato, ma la corte ha respinto la sua richiesta dal momento che la polizia non aveva iniziato a intercettare. L’uomo sospettato aveva comprato l’automobile da un precedente proprietario un paio di mesi prima dell’incidente e probabilmente nemmeno sapeva di avere un pulsante per le emergenze. Infine, l’uomo è stato ritenuto colpevole.

Come non andare in onda

Alla conferenza CES 2017 di Las Vegas, tenutasi a gennaio, quasi ogni cosa intelligente presentata (dalle automobili ai frigoriferi) era dotata di un assistente virtuale. Questa moda darà sicuramente luogo a nuovi rischi per la privacy, per la sicurezza e anche per l’incolumità fisica.

Ogni sviluppatore deve fare in modo che la sicurezza degli utenti sia una priorità assoluta. Per quanto riguarda le persone comuni, abbiamo una serie di consigli per aiutarle a proteggere la propria vita dalle orecchie che ascoltano tutto.

  1. Spegnete il microfono di Amazon Echo e di Google. C’è un pulsante. Non è il modo più comodo per assicurarsi la privacy (dovrete sempre ricordarvi disattivare l’assistente) ma almeno è pur sempre qualcosa.
  2. Utilizzate le impostazioni dell’account di Echo per vietare gli acquisti o per proteggerli con una password
  3. Utilizzate una protezione antivirus per PC, tablet e smartphone per diminuire i rischi di fughe di dati e per non permettere l’accesso ai criminali.
  4. Cambiate la parola d’ordine di Amazon Echo se qualcuno a casa vostra ha un nome simile a “Alexa”. In caso contrario, qualsiasi dialogo che avviene nei pressi del dispositivo può diventare una vera e propria seccatura.

Non esiste una strada a senso unico

Ok, adesso avete coperto la webcam del vostro portatile, avete nascosto lo smartphone sotto al cuscino e vi siete sbarazzati del vostro Echo. Adesso vi sentite protetti dagli spioni…ma non lo siete. I ricercatori dell’università Ben-Gurion (Israele) hanno spiegato che anche i comuni auricolari possono diventare microfoni.

  1. Gli auricolari e gli altoparlanti passivi sono fondamentalmente un microfono al contrario. Questo vuol dire che ogni auricolare collegato ad un PC può rilevare i suoni.
  2. Alcuni chipset audio possono cambiare la funzione di una porta audio a livello del software. Non si tratta di un segreto (viene segnalato nelle caratteristiche della scheda madre).

Di conseguenza i cybercriminali possono far diventare i vostri auricolari un dispositivo di intercettazione per registrare di nascosto i suoni e inviarli ai propri server tramite Internet. Studi sul campo hanno provato che in questo modo si può registrare qualsiasi conversazione che avviene a diversi metri di distanza con una qualità accettabile. Pensate che la gente spesso sta molto vicino agli auricolari, portandoli al collo o tenendoli sul tavolo.

Per proteggervi da questo tipo di attacco, utilizzate altoparlanti attivi piuttosto che auricolari e altoparlanti passivi. Quelli attivi, infatti, possiedono un amplificatore incorporato tra la presa elettrica e l’altoparlante che non farà tornare indietro il segnale alla parte d’ingresso.