Gli utenti più sensibili utilizzano un pezzetto di nastro isolante (o un cerotto) sull'obiettivo della webcam del computer e su quello della fotocamera dello smartphone. Quelli un po' più maniacali si preoccupano anche dei microfoni installati nei loro dispositivi, arrivando ad aprirli ed eliminare fisicamente queste componenti audio in modo che non possano essere utilizzate dagli hacker per spiarli. Un lavoro apparentemente inutile: un gruppo di ricercatori israeliani ha "manomesso" gli auricolari di uno smartphone per registrare una conversazione anche senza microfono.
Gli scienziati della Ben Gurion University hanno ideato e realizzato Speake(a)r (gioco di parole che fonde i termini speaker, altoparlante, e ear, orecchio), un malware in grado di "costringere" il computer a registrare voci e suoni in una stanza senza utilizzare microfoni. Al loro posto, infatti, sono utilizzati gli auricolari delle cuffiette, in grado di captare le onde sonore, esattamente come un microfono, ma, di norma, incapaci di "inviarle" al dispositivo al quale sono collegate. Almeno fino a quando i ricercatori israeliani hanno messo a punto il malware di cui sopra, capace di trasformare le onde sonore intercettate dalle cuffiette in impulsi elettrici e successivamente ricodificarli in parole di senso compiuto. "Anche se dovesse staccare il microfono dal PC – afferma Mordechai Guri, a capo del team di ricerca – con Speake(a)r saremmo comunque in grado di ascoltare ciò che la gente dice e registrare una conversazione".
Non è una sorpresa
Non che i ricercatori israeliani abbiano fatto una scoperta eccezionale. Su YouTube sono da tempo presenti una decina di video che mostrano come "riconfigurare" le cuffiette dello smartphone in microfoni, così da poterle utilizzare in maniera ambivalente. La peculiarità della ricerca condotta nella Ben Gurion University è un'altra: Speake(a)r, infatti, è in grado di "costringere" il computer a registrare anche se le cuffie sono collegate al PC tramite il jack audio di output (progettato per "dialogare" con le periferiche audio di riproduzione come cuffie e casse) e non al jack di input (deputato, invece, a "collezionare" dati in arrivo da periferiche audio di acquisizione come microfono e mixer).
Falla RealTek?
Il merito, se così si può dire, è del chip audio di RealTek, società che figura tra i maggiori produttori mondiali di componenti legate alle periferiche audio. Una funzionalità secondaria e poco conosciuta di questi microprocessori permette di "ricodificare" le porte audio che gestisce permettendo così di trasformare facilmente e, soprattutto, "silenziosamente" un jack di output in un jack input. In questo modo il malware diventa in grado di registrare voci e suoni anche se le cuffie sono collegate all'ingresso "sbagliato".
Tutti in pericolo
Una falla di sicurezza non da poco, specie se fosse confermata anche dal produttore statunitense (RealTek, infatti, ha inizialmente rifiutato di commentare i risultati della ricerca dell'università israeliana). Questa particolare tipologia di chip audio, infatti, è così comune che letteralmente chiunque possieda un PC o uno dispositivo portatile potrebbe essere potenzialmente a rischio spionaggio. RealTek, infatti, rifornisce la stragrande maggioranza dei produttori hardware per Windows e anche Apple.
Difficile da "riparare"
Il vero problema, sottolinea Mordechai Guri, è che la falla non è semplice da sistemare: non si tratta di un bug del software, ma di una funzionalità hardware offerta dallo stesso chip RealTek. Per garantire che nessun hacker o "spione digitale" possa approfittare di questa falla, insomma, sarebbe necessario che gli ingegneri statunitensi progettino in maniera differente il chip stesso. Un'operazione che sarebbe possibile, però, solo sui nuovi dispositivi e non su quelli in commercio. Insomma, attenzione a quello che dite anche se non avete microfoni: i vostri auricolari potrebbero essere in ascolto!