Assistenti vocali, un rischio per la sicurezza informatica

Per poter funzionare come sono stati progettati, gli assistenti vocali devono raccogliere ed analizzare continuamente un ingente quantità di dati.
Solo in questo modo, possono interpretare correttamente le richieste degli utenti ed eseguire i comandi desiderati dimostrandosi un valido supporto.
Il problema, o meglio il potenziale problema legato all’utilizzo degli assistenti vocali deriva dal fatto che tra le informazioni che condividiamo con i nostri assistenti virtuali sono presenti anche molti dati sensibili.

assistenti vocali

Quanto accade, rappresenta un problema serio?
Al termine di questo articolo sarete in grado di avere una panoramica completa e chiara del fenomeno. Insieme, ci interrogheremo su quali possano essere le conseguenze di questa condivisione unilaterale di informazioni.

Sommario degli argomenti

Definizione di assistente vocale

Un assistente vocale è un’applicazione che permette l’interazione tra umano e dispositivo.

Il primo modello di assistente vocale con funzionalità estremamente limitate rispetto a quelle odierne venne presentato nel 1964 da IBM.
Da quel momento, grazie anche alla rapida evoluzione degli algoritmi di AI e machine learning la tecnologia ha subito diversi cambiamenti e continui miglioramenti delle prestazioni, che arriva fino ai giorni nostri.

Le app di assistenza vocale si possono identificare in due sottogruppi goal oriented e chit-chat.

Le prime servono appositamente per svolgere una funzione definita, ad esempio

  • inviare un messaggio
  • impostare la sveglia
  • leggere un determinato file ecce cc.

Le seconde invece sono nate per intrattenere l’utente.

Quando però ci troviamo difronte agli assistenti vocali più diffusi, come ad esempio Alexa o Siri, stiamo interagendo con veri e propri smart-speaker i cui algoritmi sono basati sull’intelligenza artificiale.

Uso domestico degli assistenti vocali

Il principale impiego di questa tecnologia è in ambito delle utenze private.
Gli assistenti vocali sono utilizzati come maggiordomi virtuali nelle smart home ma anche come aiuto per persone diversamente abili, che si troverebbero in difficoltà ad utilizzare le interfacce comuni. Sono inoltre molto utili come ausiliari per delle ricerche in internet o per la gestione dei messaggi mentre si è alla guida, addirittura alcune automobili prevedono un assistente vocale di default, che possa effettuare chiamate, regolare la musica ed altro.

Uso lavorativo degli assistenti vocali

Man mano che la loro diffusione aumenta all’interno delle mura domestiche, si sta progressivamente assistendo alla loro diffusione anche nelle aziende, o comunque, alle postazioni di smart working dotate di assistenti vocali.

Concentrandoci esclusivamente nell’ambito aziendale, ci sono tre diversi ambiti di applicazione che si stanno rapidamente diffondendo:

  • Uso per applicazioni domotiche, come ad esempio regolazione delle intensità delle luci o della temperatura o per il controllo di altri parametri di un spazio.
  • Ricerca di informazioni all’interno dei database aziendali o sul web
  • Scambio di informazioni tra il personale o tra i diversi reparti

Assistenti vocali: rischi correlati

Questi strumenti digitali sono in grado di raccogliere e conservare informazioni poiché, meglio ci conoscono, più possono esserci utili. Tra le informazioni che vengono apprese dagli assistenti vocali annoveriamo:

  • Nomi utente

  • Dati di geolocalizzazione

  • Numero di telefono

  • Indirizzo IP

  • Abitudini degli utenti di un’intero gruppo di persone

  • Cronologia Internet

  • Informazioni degli account collegati

Siamo certi che l’acquisizione di tutte queste informazioni non ci crei problemi di sicurezza?

Assistenti vocali, un orecchio indiscreto

Un assistente virtuale interagisce attraverso la voce e deve sempre essere “in ascolto” per rendersi conto se ci stiamo rivolgendo a lui per affidargli qualche compito. Per fare questo si mantiene uno stato di passive listening, in italiano ascolto passivo. Sostanzialmente ci ascolta e si attiva solo nel caso senta le parole di attivazione.

Poiché abbiamo i nostri dispositivi sempre con noi, questi potenzialmente possono captare qualsiasi suono presente nell’ambiente circostante: persino le conversazioni più intime. In particolare, potrebbe verificarsi l’attivazione del processo di ascolto, nel caso in cui qualsiasi altro utente pronunciasse una parola simile a quella di attivazione o nel caso in cui qualcuno dicesse quella stessa parola in un contesto diverso.

Lo stesso problema si ripropone nel caso delle telecamere.

Tendenzialmente, gli assistenti virtuali non dovrebbero accedere alla telecamera ma non possiamo escludere che lo facciano. Sebbene possiamo considerare inverosimile l’ipotesi che queste applicazioni registrino tutto ciò che diciamo nel corso di una giornata, tenete a mente anche quest’ipotesi.

Attacchi esterni

Ancora, come ogni dispositivo connesso in internet, è possibile che qualche malintenzionato riesca a violare il nostro assistente vocale e attivare i microfoni a nostra insaputa. Si tratta di un’ipotesi davvero estrema, ma dobbiamo necessariamente considerare anche quest’ipotesi. La miglior prevenzione nei confronti di queste situazioni è senza dubbio la scelta di password robuste per l’accesso al software di assistenza vocale, la presenza di una doverosa protezione antivirus anche alla nostra “smart-home” e alla nostra postazione di lavoro.

Profilazione e pubblicità targhettizzata

Infine, le informazioni raccolte su di noi dagli assistenti vocali, possono contribuire a creare un profilo quanto mai dettagliato di

  1. abitudini
  2. orientamenti politici
  3. opinioni su determinati temi
  4. fede religiosa
  5. modi di fare e preferenze.

Questo è lo stesso principio che inseguono i cookie di profilazione.

Un dossier dettagliato sulle abitudini dei consumatori potrebbe porre le basi per campagne di marketing mirate, persuasive e non richieste.

Anche in ambito lavorativo, gli assistenti virtuali potrebbero essere sfruttati per carpire segreti industriali, lo stato delle ricerche su un determinato tema, funzionamento interno, strategie commerciali e altro ancora a vantaggio di aziende concorrenti.

Uso investigativo (permesso solo a livello statale)

Le registrazioni degli assistenti vocali possono essere utilizzate in casi limite come prove all’interno di un procedimento penale. E’ stato chiesto al fornitore del servizio di fornirne una copia agli inquirenti per verificare la dinamica. E questo, se da una parte sempre uno scopo nobile, sottintende la possibilità, tutt’altro che fantascientifica che in un futuro, gli assistenti vocali possano essere utilizzati come mezzo per il controllo sociale.

Si tratta per il momento di scenari immaginari ma non inverosimili, se si considera ad esempio l’attuale sistema di videosorveglianza cinese.

Una parola in più sulle smart home

In alcuni casi, gli assistenti vocali fungono da vero e proprio maggiordomo digitale in casa.
Regolano le luci, aprono e chiudono finestre, impostano dei timer, gestiscono tutti gli elettrodomestici e così via.

In una casa smart ci sono altri rischi da considerare:

  • I bambini hanno accesso tanto quanto gli adulti ai comandi del aiutante virtuale, che non sa distinguere chi sta dando un comando. Resta fondamentale regolare le impostazioni di conseguenza per evitare spiacevoli situazioni, magari chiamate inattese, abbonamenti o ordini apparentemente senza spiegazione
  • Altra questione sono le finestre, ipoteticamente i comandi possono essere lanciati anche dall’esterno se i microfoni sono abbastanza sofisticati da sentire ed interpretare le parole che vengono dette.

Falsi miti sugli assistenti vocali

Sfatiamo alcuni falsi miti comuni sugli assistenti vocali.

Sebbene anche i fornitori di questi servizi ammettano che ci sono degli operatori in ascolto, essi ascolterebbero solo una percentuale compresa tra lo 0.2 e 1% di quello che viene detto in modo da migliorare il servizio. In questo caso parliamo dei momenti in cui l’assistente è legittimamente in uso.

Per quello che riguarda lo stato di passive listening, non ci sono evidenze che confermino l’ipotesi che il dispositivo in questo stato ci spii continuamente. Alcuni test, confermano che non ci sono attività consistenti in caso di ambienti poco rumorosi ma che l’attività crescerebbe senza grosse ingerenze in caso di ambienti rumorosi.

In più, per registrare 24 su 24 gli audio di tutte le persone che hanno un dispositivo dotato di assistente vocale, sarebbe necessaria una quantità di memoria inimmaginabile. Per analizzare questi dati e tirarne fuori informazioni utili servirebbe poi una potenza di calcolo mastodontica.

Infine, la quantità di dati che volontariamente ciascuno di noi condivide con le diverse piattaforme, uniti a quelli ricavati attraverso i cookie di profilazione, è così grande da rendere inutile un ascolto continuativo.

Come tutelarsi

Ci sono in molti casi delle azioni semplici che possono aiutarci a difendere la nostra privacy senza privarci della comodità di questi aiutanti virtuali.

  • Disattivare il microfono e la telecamera se non sono necessari in quel momento
  • Negare il consenso all’uso delle proprie informazioni per il miglioramento del software
  • Impostare la cancellazione automatica periodica dei dati raccolti
  • Far ricorso ad una DPIA, valutazione dell’impatto sulla privacy
  • Non pronunciare ad alta voce dati come i numeri di carta di credito o le password in ambienti in cui ci sono degli assistenti vocali
  • Spegnere gli assistenti quando non sono utili ( ad esempio se non siete in casa)
  • Impostate un codice per l’esecuzione di alcune azioni

In ambito aziendale

Per le società possono essere utili altri passaggi ulteriori, che non possono sostituire una attenta valutazione dei pro e dei contro all’uso di queste applicazioni.

  • Fornire istruzioni agli incaricati su come utilizzare questi strumenti
  • Prevedere delle policy specifiche per lo smart working
  • Verificare ed adeguare le conoscenze del personale riguardo ai rischi
  • Limitare il personale autorizzato all’uso di questi software
  • Non istallare assistenti virtuali nei locali dove vengono trattate informazioni riservate
  • Leggere le informative riguardo al trattamento della privacy del software scelto
  • Regolare le impostazioni ove possibile

Linee guida europee e leggi

I problemi di tutela della privacy relativi a queste applicazioni non sono affatto marginali ed infatti, nel 2021 sono state pubblicate dall’ente per la tutela della privacy le

“linee guida per gli assistenti vocali”.

In questo documento, come già in altri riguardanti la privacy e l’interazione umano-AI si rimarca come lo sviluppo degli algoritmi AI debba tendere ad una tecnologia “affidabile ed antropocentrica”.

Ovvero deve soddisfare i requisiti di:

  • Promuovere società eque, non ridurre ne sviare l’autonomia umana

  • Sicurezza

  • Riservatezza

  • Trasparenza

  • Non essere discriminante

  • Promuovere il benessere sociale ed ambientale

  • Responsabile

Insomma, tutti i dispositivi di questo tipo, primi tra tutti gli assistenti vocali devono essere progettati, sviluppati, realizzati e testati per quello che riguarda la difesa della privacy. In particolare deve essere possibile la gestione delle autorizzazioni alla raccolta e al trattamento dei dati secondo il GDPR.

Ogni utente deve poter esercitare diritto di rettifica dei dati poter richiedere la loro eliminazione, deve poter esigere una archiviazione sicura e negare il consenso agli usi che il titolare del trattamento intende fare delle informazioni che detiene.

Conclusioni

Un assistente vocale può essere un aiuto pratico ed estremamente comodo in molte situazioni. Ma anche la privacy non va trascurata, è fondamentale informarsi sulle specifiche condizioni d’uso del nostro aiutate digitale, configurare delle impostazioni che siano un compromesso tra usabilità e sicurezza e soprattutto non fidarsi a priori!

Per fortuna in questo senso le regolamentazioni europee tutelano i consumatori ma anche gli utenti devono fare la loro parte e non lasciare che la loro sicurezza sia affidata esclusivamente alla buona volontà del produttore.

C’è anche da dire che per il momento non ci sono casi eclatanti in cui queste violazioni della privacy si siano verificate ma il semplice fatto che non si possano escludere deve farci rimanere attenti. Troppo spesso infatti, le nuove tecnologie sono usate in preda all’entusiasmo della novità, senza porsi le giuste domande fino al momento in cui una falla viene alla luce in modo tragico. Non cadiamo in questo errore.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.