In questi ultimi anni sono diventati uno dei regali maggiormente diffusi in vetta a tutte le classifiche degli acquisti di Natale insieme ad altri prodotti tecnologici: stiamo parlando degli smart speaker o altoparlanti intelligenti. Questi strumenti si perfezionano sempre di più riuscendo ad interagire alle nostre domande rispondendo in maniera precisa e sempre più puntuale. Ma quali possono essere i rischi per la privacy nell’utilizzo di questi dispositivi? Dove finiscono le informazioni che condividiamo con loro e le nostre domande? Per quanto tempo i nostri dati possono essere conservati? E siamo consapevoli che se utilizziamo lo smart speaker come “intermediario” per strumenti ad esempio domotici, la sequenza di informazioni aumenta sensibilmente andando a interagire con una sfera privata sui nostri usi, consumi, preferenze e scelte personali? Tutte domande legittime che pongono una viva attenzione sulla sicurezza che devono garantire questi strumenti per la tutela della nostra privacy visto che sono diventati sempre più parte integrante della nostra quotidianità.
Nella vasta gamma di strumenti smart in commercio non troviamo solo assistenti vocali ma anche tanti altri tipi di dispositivi come orologi, illuminazioni per la casa, dispositivi per il riscaldamento, serrature. Gli oggetti smart poi non si limitano solo all’ambito domestico ma possono trovare spazio in una moltitudine di settori. Ecco quindi che si parla di smart car, smart building, smart logistics, smart city, smart factory e tante altre applicazioni in continua evoluzione e che possono naturalmente essere oggetto di attacchi informatici. Tali attacchi possono avere come obiettivo l’elusione dei sistemi di difesa al fine di portare a segno furti, accessi non autorizzati, sostituzioni di persona o sottrazione di dati personali per finalità sicuramente non nobili.
Nello scorso mese di marzo anche il Garante per la Protezione dei Dati Personali ha emanato una scheda informativa contenente dei consigli per un uso a prova di privacy specifica per gli smart assistant oggetto della nostra trattazione.
Dispositivi “smart”, le tecnologie wireless
Prima di concentrarci sul documento emanato dal Garante vediamo l’evoluzione di questi strumenti così importanti da scatenare una vera e propria guerra tra i colossi della tecnologia per accaparrarsi quote di mercato in questo specifico settore e quanto tali dispositivi trovato spazio nelle case degli italiani.
Attualmente si calcola che il 38% degli italiani possieda almeno un oggetto smart in casa e il trend è destinato ad aumentare. Molti oggetti che fino a pochi anni potevano essere considerati “statici” e privi di possibili interazioni possono diventare “smart”, grazie all’integrazione di una piccola componente tecnologica costituita da tag RFID e sensori (come ad esempio i beacon).
L’RFID è una tecnologia di riconoscimento univoco e automatico sempre più utilizzata nella logistica, nella distribuzione ma anche per la gestione degli asset, realizzando inventari e sistemi di archiviazione attraverso processi di tracciabilità e rintracciabilità massimamente efficaci ed efficienti.
La tecnologia beacon basata sul Bluetooth, consente ai dispositivi attraverso questa tecnologia di trasmettere e ricevere piccoli messaggi entro brevi distanze.
Tale tecnologia ha permesso a questi strumenti di ottenere, in un breve periodo, una diffusione molto intensa. Sono passati solo sei anni da quando Amazon presentò al mercato Alexa aprendo la strada a questi dispositivi commercializzati poi anche da Google e da Apple.
I “consigli” del Garante per la Privacy
Se per attivare l’assistente digitale o le eventuali app di gestione è necessario registrarsi fornendo dati personali, è bene leggere con attenzione l’informativa sul trattamento dei dati personali, che in base al Regolamento UE 679/2016 “GDPR” deve sempre essere disponibile sul sito dell’azienda che offre il servizio o nella confezione del dispositivo in cui è contenuto lo smart assistant. Leggendo l’informativa è bene sapere quali e quante informazioni saranno acquisite direttamente dall’assistente digitale, come potrebbero essere utilizzati o trasferiti a terzi i dati raccolti, chi e come potrebbe ricevere i dati raccolti e se sono possibili, per qualsiasi ragione, accessi “in diretta” al microfono e alla videocamera dello smart assistant da parte di addetti della società che lo ha prodotto o della società che gestisce i servizi offerti dallo smart assistant e non meno importante, dove sono conservati questi dati e per quanto tempo.
Non dire troppe cose allo smart assistant
Nel momento in cui si attiva per la prima volta lo smart assistant è meglio fornire informazioni strettamente necessarie per la registrazione e attivazione dei servizi. In generale, si potrebbe decidere di evitare che questi ultimi possano utilizzare dei dati, impostando password o impronte vocali che limitano l’accesso al servizio solo a specifici utenti adulti. È sconsigliato memorizzare informazioni delicate come quelle relative alla propria salute, le password, i numeri delle carte di credito.
Disattiva l’assistente digitale quando non lo usi
Quando è acceso ma non viene utilizzato, l’assistente digitale è in uno stato detto di passive listening, una sorta di “dormiveglia” da cui esce non appena sente la parola di attivazione che abbiamo scelto.
Ecco allora alcune precauzioni: se consentito, scegliere con cura la parola di attivazione, evitare parole di uso frequente (nomi di persona o di oggetti di uso quotidiano) che possono causare, qualora captate, attivazioni involontarie dello smart assistant; ricordare che durante il passive listening l’assistente digitale è potenzialmente in grado di “sentire” (tramite il microfono del dispositivo su cui è installato) ed eventualmente anche di “vedere” (tramite la videocamera del dispositivo su cui è installato) tutto quello che diciamo e facciamo. Questi dati possono anche essere memorizzati e inviati a terzi, o comunque possono essere conservati non sul dispositivo, ma su server esterni.
Al fine di evitare ogni possibile acquisizione e trasmissione non desiderata di dati, quando non si usa l’assistente digitale (ad esempio la notte, quando non si è in casa, ecc.), si può:
- disattivare il microfono o la videocamera o entrambi gli strumenti, a seconda dei casi, attraverso appositi tasti presenti sul dispositivo che ospita l’assistente digitale (ad esempio: smartphone, altoparlante intelligente, ecc.) o utilizzando le impostazioni sulle app di gestione;
- disattivare del tutto l’assistente digitale tramite le impostazioni del dispositivo su cui è installato, oppure spegnere direttamente il dispositivo che lo ospita. È una scelta forse un po’ scomoda, perché comporta il dover riattivare il dispositivo quando necessario; ma può servire a garantire una maggiore protezione della propria riservatezza.
Decidi quali funzioni dell’assistente digitale mantenere attive
Gli assistenti digitali, come tutti i dispositivi e servizi che sono parte dell’Internet delle cose, non si limitano ad essere in connessione con la rete, ma sono anche in grado di “dialogare” con altri dispositivi. Questa capacità amplifica la possibilità di raccolta, incrocio dei dati e diffusione di informazioni personali.
Occorre valutare se disattivare alcune funzioni di controllo domotico e inserire apposite password per controllare l’attivazione o disattivazione dei sistemi, in modo da poter utilizzare lo smart assistant con maggiore sicurezza. Si pensi, ad esempio, al rischio eventuale che la voce dell’utente venga in qualche modo captata e clonata da malintenzionati e utilizzata per controllare elettrodomestici o ingressi o sistemi di protezione della casa, oppure per “spiare” l’interno dell’abitazione utilizzando microfoni e videocamere.
Cancella periodicamente la cronologia delle informazioni registrate
Per limitare il trattamento dei dati personali raccolti dall’assistente digitale, si può periodicamente cancellare la cronologia delle informazioni in esso registrate, o quantomeno eliminare dalla cronologia alcune tipologie di dati (ad esempio, quelli ritenuti più delicati).
Questa operazione si può effettuare di solito utilizzando il sito web o l’app dedicati alla gestione dello smart assistant, oppure utilizzando le funzioni di impostazione del dispositivo su cui è installato (smartphone, smart speaker, automobili intelligenti intelligenti, ecc.).
Sicurezza e privacy
Come per tutti i servizi digitali, una buona regola di base è impostare password di accesso complesse, sia per l’uso dello smart assistant che per la sua connessione a Internet.
Occorre sempre verificare che la crittografia della rete Wi-Fi sia impostata preferibilmente sul protocollo di sicurezza Wpa 2, cambiare periodicamente la password, verificare se sul dispositivo in cui è installato lo smart assistant siano presenti sistemi di protezione anti-virus e tenerli costantemente aggiornati e in ultimo se il sistema operativo dell’assistente digitale o della app di gestione prevedono delle impostazioni privacy, è opportuno controllarle e regolarle sui livelli di protezione desiderati.
Se cedi lo smart assistant, non cedere anche i tuoi dati
Nel caso in cui il dispositivo (smartphone, smart speaker, automobili intelligenti, ecc.) su cui è installato lo smart assistant venga eventualmente venduto, regalato o dismesso, è bene disattivare gli eventuali account personali creati, ad esempio per attivarlo e connetterlo online, e provvedere alla cancellazione di tutti i dati eventualmente registrati al suo interno o sulla app di gestione.
Se i dati raccolti sono stati trasmessi e conservati nei database dell’azienda produttrice o di altri soggetti è opportuno chiederne la cancellazione facendo sempre appello ai diritti riconosciuti a tutti gli interessati all’interno del GDPR.
A prova di privacy
Il Codice privacy (in particolare l’art. 3) e il Regolamento UE 2016/679 in materia di protezione dei dati personali prevedono che i sistemi elettronici siano prodotti e configurati per ridurre al minimo la raccolta e il trattamento di dati personali (privacy by design e privacy by default). Occorre inoltre che siano rispettati alcuni principi fondamentali, come quello di trasparenza riguardo al trattamento dei dati, e i diritti delle persone fisiche.
In conclusione possiamo sicuramente affermare che anche con questi strumenti non bisogna mai abbassare la guardia e ricordare sempre di utilizzare qualsiasi smart device con cognizione di causa e in modo adeguato. Naturalmente il problema della sicurezza di questi dispositivi non è passata inosservata a livello legislativo e, con il faro del GDPR a illuminare sempre ogni scelta e ogni implementazione si è deciso di intraprendere un percorso di armonizzazione in ambito sicurezza informatica per tutti i dispositivi che entreranno in commercio sul mercato europeo.
La strada intrapresa dall’Europa attraverso l’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione) è stata quella di istituire e regolamentare un processo di certificazione per tutti gli strumenti tecnologici che faranno la loro comparsa sul mercato nei prossimi anni.
Tale processo ha assunto la propria esplicitazione in una parte del Regolamento UE 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 più comunemente denominato Cybersecurity Act.
È bene ricordare che attualmente la maggior parte delle certificazioni sulla cyber sicurezza esistenti nei vari stati membri, hanno solo valenza nazionale, di conseguenza non sono riconosciuti all’estero. Il Regolamento in questione unificherà i processi: non ci sarà un unico certificato ma delle linee guida che rendano le certificazioni omogenee e riconosciute a livello comunitario. ENISA sta predisponendo nuovi schemi di certificazione conformi al Cybersecurity Act. Gli stessi saranno adottati dalla Commissione UE, e diventeranno esecutivi e disponibili per le imprese degli Stati. Gli schemi sostituiranno le leggi nazionali in un percorso complesso ma necessario per la salvaguardia di tutti i cittadini. Per ora e penso anche per il futuro la maggiore arma di difesa dagli attacchi rimane sempre il nostro comportamento e un uso consapevole.
Smart speaker, i dati di mercato
Attualmente Amazon è leader del mercato degli smart speaker: lo dice il rapporto della società di ricerche di mercato eMarketer in cui si analizza il settore confrontando i dati dei principali player dal 2017 a oggi, dando uno sguardo previsionale a ciò che ci attende sino al 2021.
La ricerca è limitata agli Stati Uniti, ma consente a ogni modo di avere uno spaccato piuttosto chiaro della situazione e dei risvolti che le scelte strategie societarie avranno nei prossimi anni. Analisi che non può che partire da un dato: il mercato degli smart speaker gode di ottima salute e si evidenzia come siano proprio gli speaker intelligenti (assieme a cuffie e auricolari) a trainare l’intero settore.
Oggi, a livello globale la competizione è sostanzialmente a cinque, con la società di Jeff Bezos che inizia a vedere con preoccupazione non solo Google e Xiaomi, ma soprattutto i colossi cinesi Alibaba e Baidu: basti pensare che nel secondo trimestre 2019 Baidu aveva registrato una crescita del 3700%, e nel terzo trimestre Alibaba è salita in seconda posizione superando proprio l’agguerrita Baidu. Negli USA, però, la lotta si limita a due soli grandi soggetti: Amazon con la gamma Echo e Google. In sintesi volendo analizzare il mercato degli smart speaker:
- Amazon è leader indiscussa del settore degli smart speaker negli Stati Uniti;
- nel 2019, 73 smart speaker su 100 erano Amazon, 31 Google;
- nel 2020 ci si attende una leggera contrazione per Amazon: a guadagnarci saranno Google ed altri brand minori;
- nel 2021, 68 possessori di smart speaker americani avranno un dispositivo Amazon, 32 Google;
- tra gli altri produttori rientra Apple, che con il suo HomePod che fatica a conquistare quote considerevoli di mercato;
- più che in altri Paesi, negli Usa Amazon risulta essere leader incontrastato grazie soprattutto alle funzionalità offerte da Alexa.
Smart speaker, attenzione alla sicurezza
Volendo porre l’attenzione sulla sicurezza di questi strumenti si può di certo affermare che i dispositivi che supportano Google Assistant, Amazon Alexa e Siri si sono dimostrati tutti vulnerabili a un particolare esperimento condotto da un gruppo di ricercatori americani.
Il trucco funziona andando a colpire sistemi microelettromeccanici, integrati nei microfoni degli altoparlanti intelligenti. Questi minuscoli componenti possono interpretare la luce come suono, il che significa che possono essere manipolati da qualcosa di semplice come un puntatore laser.
Considerando che gli smart speaker sono spesso collegati a serrature intelligenti, allarmi intelligenti e altri dispositivi di sicurezza domestica, non è difficile immaginare come questo possa essere usato per intrufolarsi in una proprietà (o forse semplicemente accendere una caffettiera intelligente).
Si è scoperto che la luce innesca una sorta di movimento nel diaframma del microfono e che i microfoni sono costruiti per interpretare tali movimenti come il suono, dato che in genere derivano dalla pressione del suono che colpisce fisicamente il diaframma.
Il team di ricerca ha fatto in modo che l’attacco funzionasse attraverso le finestre, a distanze fino a 110 metri e con un kit che costa solo pochi dollari reperibile su internet. Gli altoparlanti intelligenti non sono spesso dotati di protezioni di sicurezza aggiuntive: se si emette un comando vocale, funziona e basta.
Prima di bloccare Amazon Echo nell’armadio, occorre tenere presente che l’attacco ha bisogno di una linea di mira con il dispositivo. Questi altoparlanti di solito forniscono anche un feedback acustico, quindi sarebbe facile sapere se qualcuno stava cercando di fare acquisti online o di spegnere le luci intelligenti da remoto.
E anche se questo potrebbe non essere il tipo di attacco alla sicurezza di cui probabilmente potremmo cadere vittima, la ricerca è preziosa per capire quali approcci potrebbero adottare gli hacker in futuro, poiché le nostre case e attività diventano sempre più disseminate di gadget ad attivazione vocale.
Una migliore comprensione della fisica dietro l’attacco andrà a beneficio sia di nuovi attacchi che di contromisure e a tal proposito ecco quindi venire in aiuto, anche per questo tipo di device, alcuni consigli di facile applicazione forniti direttamente dal Garante per la Protezione dei Dati Personali che ha cercato di portare l’attenzione sui metodi d’uso e gestione degli apparati al fine di prevenire possibili attacchi informatici.