Google, Burger King, panini e privacy

Cosa posso avere mai in comune il gigante dei servizi online, Google, una delle più note catene di Fast Food, Burger King e la privacy delle nostre case?

Apparentemente nulla, ma…

È di pochi giorni fa la notizia che Burger King abbia realizzato e mandato in onda negli Stati Uniti un particolare (ed innovativo) spot pubblicitario che ha destato una valanga di polemiche.

In pratica, nello spot appare un impiegato di Burger King che mostrata un panino chiamato Whopper e dice qualcosa come:

State guardando uno spot di Burger King della durata di 15 secondi. Purtroppo non c’è tempo per illustrare tutti i freschissimi ingredienti del panino Whopper, ma ho un’idea:

A questo punto l’inquadratura si stringe e il ragazzo pronuncia le seguenti parole:

Ok Google, what is the Whopper burger?

Ok Google, cos’è il Whopper burger?

Con questo semplice espediente, lo spot ha avuto l’effetto di attivare tutti i dispositivi gi Google a portata di voce dei televisori che mostravano la pubblicità e ha fatto in modo che essi effettuassero immediatamente l’accesso alla pagina Wikipedia inerente il Whopper burger.

Al di là dell’effetto di marketing e delle polemiche generate dallo spot (Burger King thought it had a great idea. Instead, it ended up with a Whopper of a problem.), questa notizia ci dovrebbe far riflettere su varie questioni legate alla nostra privacy e alla sicurezza dei nostri dispositivi.

Il fatto che un semplice filmato abbia potuto attivare contemporaneamente decine di migliaia di device allo stesso istante non è di per sé un danno per nessuno, tuttavia può essere piuttosto preoccupante.

In effetti nessuno dei possessori di quei dispositivi voleva che essi si attivassero in quel momento, ne ha potuto prendere contromisure di alcun tipo per impedire che eseguissero quel comando. Di fatto, per una manciata di secondi, uno strumento di proprietà di qualcuno e, probabilmente, piazzato in bella mostra nel suo salotto, è stato utilizzato da qualcun’altro per eseguire istruzioni che il suo proprietario non aveva alcuna intenzioni di fargli eseguire.

Secondo voi, si potrebbe definire questo atto come Hacking?

A queste riflessioni possiamo poi aggiungere altri dettagli interessanti.

I sistemi di assistenza vocale come Google Now, Siri, Cortana e Alexa, giusto per citare i più famosi, funzionano più o meno in questo modo:

Quale che sia il dispositivo (smartphone, computer, home kit, ecc.), esso è dotato di un microfono attivo 24 ore su 24 che serve a monitorare qualsiasi suono prodotto nell’area circostante.

Appena il suono captato dal microfono corrisponde ad una specifica fingerprint vocale (Ok Google, Ehi Siri, ecc.), il software del dispositivo avvia una campionatura delle parole pronunciate e, in tempo reale, la invia al proprio server di riferimento che la analizza cercando di far corrispondere i suoni a parole o frasi di senso compiuto.

Una volta “comprese” le frasi dette, esse vengono reinviate al dispositivo che, sulla base di determinate keywords, esegue i comandi a noi familiare come avviare un’applicazione o una nuova ricerca, inviare messaggi, ecc.

Anche in questo processo, dando per scontata l’etica delle grandi multinazionali che gestiscono il servizio, il funzionamento dello strumento in questione non sembra di per sé destare eccessive preoccupazioni.

Ma…

Ammettiamo che qualcuno, mettendo in pratica una qualche idea al tempo stesso semplice e geniale come quella di Burger King, riesca ad inserirsi in qualche punto del processo tra il microfono del nostro dispositivo e il server del gestore del servizio. Quale sarebbe il risultato?

Semplice: quel qualcuno avrebbe la possibilità di ascoltare 24 ore su 24 tutto ciò che viene detto nei pressi del dispositivo. In pratica ci potrebbe spiare da un qualsiasi luogo attraverso una cimice che noi stassi abbiamo piazzato nella nostra casa… o nella nostra macchina… o nella nostra tasca.

Ora voi potreste pensare: “Io non ho nulla da nascondere. Chi potrebbe essere interessato a spiare me?”.

Questa è una delle prime obiezioni che mi vengono mosse quando parlo di privacy e sicurezza con qualcuno (sopratutto clienti privati e piccole aziende), ma è una idea totalmente falsa.

Basti pensare all'ultima delle truffe che circola al momento su Facebook o al fatto che un qualsiasi account, sito o sistema compromesso può essere utilizzato per molteplici scopi: dallo spam alla sorveglianza illegale al furto di informazioni sensibili.

Ultimamente il campo dell’IoT è in fortissima espansione e non sempre le aziende sono in grado o vogliono impiegare le dovute risorse al fine di implementare i necessari protocolli di sicurezza per i propri prodotti: a partire dai forni che possono esssere accesi via sms, ai vibratori wi-fi con webcam integrata la cui password di default è 88888888.

E' stato dimostrato che anche società attente come Philips non sono state in grado di rendere i propri apparecchi totalmente sicuri (anche se in questo caso lo sforzo necessario a forzare il prodotto non è affatto trascurabile) e, in ogni caso, le nostre abitudini in termini di configurazioni dei reti wireless e gestione delle password può rappresentare un enorme fattore di rischio.

Ogni quanto cambiano la password della nostra rete wireless? A quante persone l’abbiamo rivelata?

In un mondo sempre più interconnesso dove sempre più oggetti sono in grado di collegarsi ad Internet e possono essere controllati in remoto, è necessario imparare a distinguere tra cosa è sicuro e cosa non lo è, cosa ci è veramente necessario e se i vantaggi (o le fissazioni) dati da determinate tecnologie, valgono i rischi che esse portano con sé.