Gli smart speaker e gli assistenti vocali sono ormai entrati nelle nostre case e fanno parte della nostra tecnologica quotidianità. La rivoluzione è iniziata nella prima metà del 2018 con l'arrivo dei Google Home con il loro Assistant, per poi proseguire con il lancio di Alexa e degli Echo di Amazon. Ora immaginare le nostre case senza di loro, e ancora senza Cortana di Microsoft, Siri di Apple e gli altri smart assistant, sembra più difficile.
Però, c'è da fare molta attenzione all'utilizzo che facciamo degli smart speaker e degli assistenti vocali: anche se non ce ne accorgiamo, ogni volta che interagiamo con questi dispositivi stiamo "regalando" loro una quantità indefinita di informazioni sulle nostre abitudini e preferenze. Anche se potrebbe sembrare un'esagerazione, gli smart speaker e gli assistenti vocali potrebbero essere utilizzati per ricavare dati e informazioni personali di chi li utilizza. Tanto per fare un esempio, negli Stati Uniti è accaduto più volte che uno smart speaker fosse chiamato "a testimoniare" in casi di omicidio o violenza domestica: sfruttando dati e registrazioni delle intelligenze artificiali, infatti, gli inquirenti sono riusciti a risalire all'ora della morte, alla presenza di altre persone nell'abitazione e così via.
Anche se questi dispositivi dovrebbero attivarsi solamente nel momento in cui un utente pronuncia la parola chiave (Hey Siri, OK Google e così via), potrebbe anche accadere che l'assistente vocale confonda qualche parola e si attivi senza che l'utente se ne accorga, registrando così quello che l'utente dice nelle sue vicinanze. Insomma, se non sono utilizzati in maniera adeguata, gli assistenti vocali potrebbero anche rappresentare un pericolo per la nostra sicurezza informatica e, soprattutto, per la nostra privacy.
Smart speaker, privacy e sicurezza informatica
Nel 2019 l'Unione europea ha istituito il Cybersecurity Act, un regolamento per la protezione degli utenti dalle violazioni della privacy attraverso l'introduzione di una certificazione per gli oggetti connessi. Le aziende produttrici di smart speaker hanno così recepito le nuove disposizioni, introducendo dei sistemi di protezione in modo che sia i dispositivi che gli assistenti vocali siano configurati per minimizzare l'uso di dati personali e in grado di proteggerli in modo adeguato.
L'obiettivo è quello di scongiurare la raccolta di dati durante "l'ascolto passivo" dei dispositivi, cioè la registrazione di quanto viene detto in casa anche senza che venga pronunciata la parola di attivazione come "Ciao Alexa" oppure "OK Google". Tra le misure che i produttori si trovano a mettere in atto, c'è quella di rendere più semplice la cancellazione delle conversazioni registrate. Ad esempio, Amazon ha semplificato la procedura di cancellazione sia attraverso specifici comandi vocali che con l'uso dell'Alexa Privacy Hub.
Sicurezza smart speaker: senti chi parla
Il pericolo più grande che si corre quando si ha uno smart speaker in casa è che il dispositivo si "sbagli" e confonda parole casuali con le frasi che dovrebbero essere utilizzate per attivarli. In questo scenario, un ruolo fondamentale è giocato dagli stessi produttori degli assistenti vocali, che hanno istruito le loro intelligenze artificiali così che possano attivarsi anche con frasi che sembrano – o ricordano lontanamente – quelle utilizzate solitamente per attivarli.
Ad esempio, alcuni ricercatori di sicurezza informatica hanno dimostrato che pronunciando "cocaine noodles" nelle vicinanze di un Google Home (o dispositivo compatibile con Assistente Google), questo si attiverà come se l'utente avesse detto "OK Google". Un problema non da poco, per la nostra privacy e sicurezza: se l'assistente dovesse attivarsi nelle occasioni più disparate e, soprattutto, senza che noi lo vogliamo, potrebbe ascoltare segreti e confessioni che facciamo credendo che non ci sia nessuno ad ascoltarci.
O ancora nell'estate 2020, quando Google ha dovuto ammettere che i suoi smart speaker avevano inavvertitamente registrato gli utenti anche senza che fosse pronunciata la frase di attivazione "OK Google", costringendo gli sviluppatori del colosso di Mountain View a rilasciare un aggiornamento dell'Assistente vocale per risolvere il bug. Una situazione che si è già verificata anche per Alexa di Amazon e prontamente risolta.
Questo, però, non è l'unico pericolo per la nostra privacy legato all'utilizzo degli smart speaker. Non avendo ancora una diffusione su scala globale, gli assistenti vocali hanno degli standard di sicurezza più bassi rispetto a computer o smartphone. E non è un caso che gli hacker, vista l'apparente facilità con la quale è possibile trafugare le nostre informazioni più riservate e la facilità con la quale possono sabotarli, abbiano iniziato a prenderli di mira. Amazon in pochi mesi ha dovuto rilasciare due aggiornamenti di sicurezza per gli Echo e Alexa che potessero correggere delle vulnerabilità molto pericolose. Gli sviluppatori dell'azienda di Jeff Bezos, infatti, si sono resi conto che alcune falle di sicurezza permettevano ai criminali informatici di attivare da remoto il microfono degli Echo e di usare uno strumento di trascrizione per registrare tutto quello che un utente diceva in casa propria.
Attacchi hacker contro assistenti vocali
Ma come riescono gli hacker a manomettere gli assistenti vocali? Niente di più semplice, almeno teoricamente: utilizzano suoni e tonalità che l'orecchio umano non può sentire e che, invece, i più sensibili microfoni montati dai vari Google Home o Amazon Echo riescono a intercettare., Partendo da questa considerazione, nel 2016 un gruppo di scienziati statunitensi ha dimostrato come fosse possibile inviare dei messaggi per attivare a distanza, e in maniera impercettibile per gli utenti, un dispositivo vocale dotato di AI.
Di fatto, è sufficiente emettere dei rumori di fondo, come vetro che cade o simili per distrarre l'orecchio umano e all'interno di questo rumore registrato inserire dei messaggi o dei comandi a frequenze che noi non possiamo sentire ma che il microfono di un assistente vocale percepisce. Usando questa tecnica i ricercatori sono stati in grado di far comporre un numero di telefono a un iPhone bloccato ma con Siri attivato e anche di ingannare Alexa di Amazon. Con questo sistema un hacker può dire all'assistente vocali di usare la carta di credito da noi registrata per trasferire tutti i soldi in un suo conto, ma può anche mettere a rischio la sicurezza della nostra famiglia se volesse impostare in modo sbagliato tutti i sensori smart attivi in casa.
Assistenti vocali: come proteggere la propria privacy
Chi utilizza gli assistenti vocali dovrebbe tenere in considerazione alcune raccomandazioni per proteggere la propria privacy. Prima di iniziare a usarne uno, sarebbe bene leggere con attenzione l'informativa sul trattamento dei dati personali, per capire come potrebbero essere utilizzati e trasferiti a terzi, oppure chi riceve i propri dati registrati da microfono e videocamera, oltre che sapere quali dati e per quanto tempo vengono conservati.
Al primo avvio dello smart assistant, il consiglio è di fornire solo le informazioni necessarie per la registrazione e l'attivazione dei servizi, evitando di salvare dati sensibili, password e numeri di carte di credito. Quando poi non si utilizza l'assistente, l'utente potrebbe disattivarlo, oppure disattivare microfono o videocamera, piuttosto che lasciarlo in modalità di ascolto passivo. Con la disattivazione, lo smart speaker non sarà in grado di registrare nulla di quello che viene detto o accade in casa. Inoltre, è sempre bene cancellare periodicamente la cronologia dell'assistente vocale, così da eliminare quelli che sono i dati più sensibili.