Sabino Maggi
– Lars Schleicher, Flickr.
Come reagireste se qualcuno si intrufolasse in casa vostra per registrare tutto ciò che dite? O se nascondesse una videocamera e osservasse quello che fate fra le mura domestiche? Il minimo sarebbe cacciarlo via a calci, fino ad arrivare nei casi peggiori ad una denuncia all’autorità giudiziaria.
Il guaio è che, mentre prestiamo molta attenzione agli spioni reali, non ci rendiamo conto di avere in casa un gran numero di spioni virtuali, oggetti tecnologici collegati ad internet che sentono e vedono tutto quello che facciamo e lo comunicano a mezzo mondo.
L’Internet of Things (IoT, Internet delle Cose) è il mantra di questi anni. Tutto deve essere intelligente e sempre connesso, tutto deve essere controllabile e gestibile a distanza, a volte per liberarci da presunte “fatiche” di cui non ci siamo mai accorti (la mia preferita è ordinare automaticamente quello che manca nel frigorifero).
La maggior parte delle applicazioni dell’IoT sono comode, non c’è che dire: controllare da lontano se qualcuno è entrato in casa, accedere o spegnere a distanza le luci o il riscaldamento, verificare che non ci siano perdite d’acqua (o di gas) e nel caso poter chiudere la valvola, sono funzioni utilissime, che si ripagano praticamente da sole.
Per poter fare tutto ciò, però, dobbiamo condividere con le aziende produttrici, tante (troppe?) informazioni sul nostro stile di vita, sulle nostre abitudini, su quando ci svegliamo, cosa mangiamo, quanto a lungo siamo fuori casa, cosa guardiamo in TV, quando andiamo a letto, persino cosa facciamo quando siamo sotto le lenzuola.
Purtroppo le aziende sono attentissime a raccogliere informazioni su tutto ciò che ci riguarda, ma sono molto meno attente quando si tratta di garantire la sicurezza delle informazioni che gli forniamo e ad evitare che vengano usate per scopi più o meno illeciti. Sembra una specie di “Corrida”, dilettanti allo sbaraglio in gara a chi fa di peggio. Qualche esempio venuto alla luce negli ultimi mesi.
C’è il robot aspirapolvere con videocamera incorporata di LG, utile per controllare la casa a distanza collegandosi tramite una app al proprio account personale. Ma anche un ladro può entrare (troppo) facilmente nell’account del malcapitato acquirente e controllare che non ci sia nessuno in casa. L’azienda ha corretto subito la vulnerabilità, è vero, ma quanti utenti di questi apparecchi si rendono conto dell’importanza di aggiornare al più presto il firmware dell’apparecchio per renderlo più sicuro (e sono in grado di farlo)?
C’è Echo, l’assistente digitale di Amazon, un maggiordomo virtuale sempre in ascolto, pronto a soddisfare tutti i nostri desideri. Ma basta avere l’occasione di rimanere pochi minuti da soli con Echo per tramutare l’assistente digitale in uno spione in grado di trasmettere a un dispositivo remoto tutto ciò che viene detto intorno al lui. Nel modello più recente questo errore di progettazione è stato corretto, ma ci sono in giro per il mondo circa sette milioni di dispositivi Echo vulnerabili, sette milioni di potenziali spioni. È non è solo un aquestione di corna. L’Echo spione non serve solo a dimostrare l’infedeltà di qualche marito (o moglie). Pensate ai segreti che può carpire qualche Echo trasformato installato strategicamente in alberghi o uffici.
C’è l’orsacchiotto intelligente che consente a genitori lontani di inviare messaggi vocali al loro bambino. Purtroppo il database contenente i dati di accesso degli utenti era liberamente accessibile a chiunque dal web, mettendo a disposizione dei malintenzionati 800.000 indirizzi email e password, crittografate in modo sicuro ma nella maggior parte dei casi così semplici da poter essere lo stesso facilmente craccabili (in fondo stiamo parlando di un giocattolo!). Con queste informazioni qualunque delinquente poteva accedere ai messaggi vocali associati, veri e propri tesori per pedofili, stalker e immonda compagnia cantante. L’azienda non si è nemmeno degnata di allertare i genitori inconsapevoli.
E poi c’è il We-Vibe Sync, un giocattolo per coppie controllabile a distanza, che trasmette all’azienda produttrice, senza il consenso degli interessati, dettagli personalissimi sull’uso dell’apparecchio, per di più associati all’indirizzo email dei clienti. Che se ne fa l’azienda di questi dati? Chi può impedire a qualche impiegato senza scrupoli di usarli a scopo di ricatto? Ma questo è ancora niente rispetto al modello concorrente con videocamera incorporata che crea un punto di accesso Wi-Fi – nemmeno fosse il router di casa – con SSID (il nome assegnato al punto di accesso) predefinito e password di default costituita da una semplice sequenza di otto “8”. Chi si trova nelle vicinanze può quindi accedere facilmente al giocattolo e guardare tutto quello che vede l’apparecchietto. Roba più da ginecologi che da amanti, ma i gusti sono gusti… Chi ha scoperto la vulnerabilità non ha potuto trattenersi dal notare che:
“A volte cadono decisamente le braccia. [Nel campo] della sicurezza [dell’Internet of Things] vediamo roba fatta veramente male, ma questa sembra assolutamente incredibile.”
Ma naturalmente non finisce qui…