Vai al contenuto
Lensa AI, avatar personali bellissimi ma a rischio

Lensa AI, avatar personali bellissimi ma a rischio

Immagine
generata
da Lensa AI per
Farah Mazuini.

Questo articolo è disponibile in versione audio nel
podcast
Il Disinformatico
del 23 dicembre 2022. Ultimo aggiornamento: 2022/12/23 23:30.

Moltissime persone stanno usando la funzione Magic Avatar dell’app
Lensa AI per crearsi dei ritratti
personali digitali stilizzati, da usare per esempio come immagini dei profili
social ma anche per puro divertimento, e i risultati sono davvero notevoli.
Gli incassi della casa produttrice, Prisma Labs, ammontano già a svariati
milioni di dollari.

Ma per usare Lensa AI bisogna
affidare
a quest’azienda una decina di foto del proprio volto, quindi una serie di dati
biometrici sensibili. Pertanto sarebbe opportuno leggere l’informativa sulla riservatezza dei dati
e le condizioni d’uso per scoprire
che fine fanno queste foto: vengono depositate temporaneamente sui server
dell’azienda, che si trovano negli Stati Uniti, e cancellate subito dopo la
generazione degli avatar corrispondenti. Così dice Andrey Usoltsev, CEO e
cofondatore di Prisma Labs.

Il problema è che oltre alle vostre foto, Lensa AI acquisisce molte altre
informazioni personali “a scopo di marketing”, come per esempio
(sezione 3 delle condizioni d’uso) che tipo di smartphone usate, il vostro
indirizzo IP e soprattutto i dati di tracciamento pubblicitario raccolti dai
principali operatori del settore, ossia i cosiddetti IDFA di Apple o
gli Android Advertising ID di Google, che possono essere poi ceduti o
rivenduti ad altre società.

Potete disabilitare questa raccolta di dati andando nelle apposite
impostazioni di iOS o di Android e seguendo le istruzioni fornite
nell’informativa di Lensa AI.

Ci sono anche alcune precauzioni che riguardano in particolare i bambini e le
donne: mandare a Lensa AI immagini di bambini è contrario alle condizioni
d’uso e produce risultati che mi limito a definire
inquietanti. Per le donne, invece, Lensa AI ha una spiccata tendenza a generare
immagini
fortemente sessualizzate: l’app spesso genera nudi integrali e pose molto
esplicite anche se si mandano solo fotografie del proprio volto.

Fonte: @CharlotteStar5.

Stranamente non sembra esserci lo stesso problema per gli uomini: per loro
vengono generate solitamente immagini in stile eroico o comunque ritratti
normali. Potete farvene un’idea sfogliando i
tweet che usano l’hashtag #lensaai.

Fonte: @Kylifornication.

Fonte: @Stevenbarrett41.


Ma il problema più grave è che è possibile usare Lensa AI per generare
immagini pornografiche realistiche di altre persone in modo pericolosamente
semplice. Se si appiccica rozzamente, con Photoshop, il volto di una persona
su immagini esplicite di un’altra, Lensa AI fonde perfettamente le due
immagini.

Lensa AI usa una versione del software di intelligenza artificiale Stable
Diffusion che è dotata di filtri che in teoria dovrebbero bloccare le immagini
non adatte, ma a quanto risulta dai test effettuati dai ricercatori questi
filtri vanno in tilt se si usa una serie appositamente confezionata di
immagini.

Le immagini pornografiche false di celebrità o di persone comuni, usate spesso
come strumenti di aggressione, bullismo o umiliazione, purtroppo non sono una
novità, ma generarle prima richiedeva una notevole competenza nell’uso di
programmi di fotoritocco e questo ne frenava la produzione e l’abuso. Ora,
invece, grazie a Lensa AI questo ostacolo non esiste più: bastano un
telefonino e pochi dollari.

Prisma Labs ha dichiarato che sta prendendo delle misure tecniche per
risolvere questo problema, ma l’avvento generale di questi software di
intelligenza artificiale sta creando un pantano etico che sta già spingendo
alcuni governi, come per esempio quello
britannico, a valutare leggi che criminalizzino la disseminazione di foto intime
generate artificialmente senza consenso.

Nel frattempo è forse il caso di ridurre, se possibile, la quantità di
fotografie dei nostri volti che mettiamo a disposizione di chiunque
pubblicandole sui social network. L’intelligenza artificiale, purtroppo, non
aiuta a contrastare la cattiveria naturale.

 

Fonte aggiuntiva:
TechCrunch.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: Samsung Galaxy S10 sbloccabile con qualunque impronta digitale! (spoiler: no)

Antibufala: Samsung Galaxy S10 sbloccabile con qualunque impronta digitale! (spoiler: no)

Ultimo aggiornamento: 2019/10/19 8:00. 

Nei giorni scorsi è diventata virale la notizia che gli smartphone Samsung Galaxy S10 avrebbero un difetto di sicurezza nel sensore d’impronte, che sbloccherebbe il telefono accettando qualunque impronta digitale di chiunque. Non è così.

La notizia è partita dal tabloid britannico The Sun (copia su Archive.org), che ha raccontato la scoperta di una signora del Regno Unito che ha “scoperto che chiunque poteva accedere al suo telefonino Samsung dopo che aveva installato una protezione per lo schermo da £2,70 che aveva comprato su eBay”.

La notizia ha creato un certo panico mediatico, tanto che una banca online sudcoreana, KaKao Bank, ha consigliato ai propri clienti di disattivare l’opzione di riconoscimento delle impronte. Samsung ha dichiarato che il riconoscimento delle impronte digitali è difettoso e che diffonderà presto un aggiornamento correttivo.

Ma il problema non è drammatico come sembra. La signora britannica, infatti, ha commesso l’errore di memorizzare la propria impronta digitale dopo aver installato la protezione antigraffio, che copre il sensore e interferisce con il suo rilevamento delle impronte. In altre parole, quello che ha fatto la signora è un po’ come memorizzare la propria impronta dopo aver indossato dei guanti di gomma e stupirsi che chiunque indossi gli stessi guanti può sbloccare il telefono.

Alcune segnalazioni suggeriscono che il problema si manifesti anche se si registra l’impronta prima di aver applicato la protezione e che se si applica una protezione il sensore accetti come valida qualunque impronta (il che significherebbe che per sbloccare un telefonino di questo tipo basta appoggiarvi sopra una protezione), ma in ogni caso non si può biasimare la signora per il fatto di non conoscere i dettagli tecnici del funzionamento del suo smartphone e di non sapere che comprare e applicare la protezione sbagliata può sbaragliarne la sicurezza.

A differenza di molti smartphone, infatti, il sensore d’impronta del Galaxy S10 è integrato nello schermo e si basa su ultrasuoni invece di essere ottico o capacitivo come quelli consueti, per cui occorre usare specificamente le protezioni approvate e verificate da Samsung invece di quelle generiche comprate su eBay.

In sintesi: se avete un S10, niente panico. Se avete registrato la vostra impronta digitale dopo aver applicato una protezione allo schermo, toglietela e registrate di nuovo l’impronta, poi comprate una protezione approvata da Samsung. Tutto qui.

Lo stesso tipo di sensore ultrasonico è installato anche sul Note 10.

Fonti aggiuntive: Graham Cluley, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Smartphone Pixel 4 si sblocca anche a occhi chiusi

Smartphone Pixel 4 si sblocca anche a occhi chiusi

Visto che la notizia del Samsung S10 sbloccabile troppo facilmente si è rivelata una bufala, segnalo con un pizzico di cautela quest’altra notizia riguardante sistemi di sblocco biometrici.

Sono state pubblicate segnalazioni secondo le quali il Pixel 4, uno degli smartphone di punta di Google, avrebbe un sensore di riconoscimento facciale con un difetto fondamentale: funzionerebbe anche quando l’utente ha gli occhi chiusi.

Questo sensore usa un sistema di machine learning per riconoscere il volto del proprietario e non ha altri sistemi biometrici di accesso (nessun sensore d’impronta). Il software del sensore non controlla se l’utente ha gli occhi aperti o meno, e questo significa che il telefono può essere sbloccato da malintenzionati, bambini o partner ficcanaso semplicemente puntandolo verso il viso del proprietario mentre dorme o è incosciente.

Google ha confermato questa caratteristica nelle pagine di supporto dello smartphone (“Your phone can also be unlocked by someone else if it’s held up to your face, even if your eyes are closed”) e raccomanda di attivare il lockdown nelle situazioni non sicure.

La cosa curiosa è che le immagini del Pixel 4 circolate prima del lancio ufficiale del prodotto includevano un’impostazione etichettata “Richiedi che gli occhi siano aperti” nel menu del riconoscimento facciale, ma quest’opzione non risulta presente nei modelli messi in vendita.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Arriva l’iPhone con scanner d’impronte digitali

Questo articolo era stato pubblicato inizialmente il 13/09/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Il nuovo iPhone, il modello 5S, è dotato di uno scanner d’impronte digitali incorporato nel tasto Home: Apple propone infatti questa soluzione, battezzata Touch ID, come metodo per sbloccare il telefonino al posto della tradizionale password e per confermare gli acquisti presso l’Apple Store.

Questa novità ha scatenato il dibattito sull’uso delle impronte digitali come sistema di sicurezza. In un periodo nel quale si parla così tanto di raccolta abusiva di dati personali, l’idea di un telefonino che fa la scansione delle impronte digitali di chiunque ne tocchi il tasto principale può destare qualche inquietudine.

Nell’iPhone 5S, secondo Apple, i dati delle impronte vengono custoditi in un’area protetta del telefonino e non vengono mai trasmessi ad Apple o ad altri. Quanto è realmente sicura quest’area protetta è ancora da chiarire: bisogna aspettare che gli esperti indipendenti ci mettano su le mani per fare un po’ di test. In ogni caso la funzione è disattivabile ed è possibile usare le protezioni tradizionali (PIN o password).

L’obiezione fondamentale all’uso di un’impronta digitale come password è che l’impronta non è un dato segreto: ne lasciamo in giro in continuazione ed è già stato dimostrato che molti sensori di questo dato biometrico sono facilmente ingannabili da impronte simulate.

L’altra considerazione è che l’impronta digitale è una “password” che non si può cambiare: se qualcuno ne entra in possesso, oppure ha a disposizione i dati digitali che la rappresentano, non possiamo scegliere facilmente un’impronta nuova. O meglio, possiamo cambiare “password” usando altre dita, ma abbiamo a disposizione soltanto nove cambi.

Fonti: Sophos, Ars Technica, Time, Ars Technica, Wired.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Scanner dell’iride sugli smartphone: scavalcabile anche a distanza

Una delle nuove tendenze nella sicurezza dei dispositivi mobili è il riconoscimento dell’iride. Sembra una buona idea: l’iride è una cosa che portiamo sempre con noi, il suo schema è unico sostanzialmente quanto un’impronta digitale, e rispetto a quest’impronta ha il vantaggio che non ne lasciamo copie in giro continuamente. Così Samsung propone lo sblocco tramite riconoscimento dell’iride del suo smartphone Galaxy S8.

Ma i ricercatori del Chaos Computer Club tedesco hanno messo alla prova questo sistema e l’hanno beffato con estrema facilità: come si può vedere nel video qui sotto, è vero che non lasciamo in giro copie dell’iride, ma l’iride è comunque facilmente copiabile a distanza usando una comune fotocamera digitale e fotografando il soggetto da una distanza non eccessiva. Non occorre avvicinarsi esageratamente: è sufficiente una foto scattata in condizioni di normale interazione sociale (a tavola o durante una lezione o una conferenza stampa, per esempio). Basta usare la modalità notturna, perché il sensore del Samsung Galaxy S8 usa gli infrarossi.

La foto viene poi stampata in grandezza naturale e viene applicata su di essa una comune lente a contatto per simulare l’aspetto e la riflettività di un occhio reale. Fatto questo, basta mostrare questa foto al telefonino per vederlo sbloccarsi come se avesse davanti il legittimo proprietario.

La cosa è piuttosto preoccupante perché, come nota Engadget, il riconoscimento dell’iride viene proposto anche come soluzione per le carte di credito (Mastercard) o come sostituto dei passaporti (Australia).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple, già scavalcato il sensore d’impronte

Apple, già scavalcato il sensore d’impronte

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Ecco come si scavalca TouchID di Apple:

1. Fotografare un’impronta digitale della vittima (da un bicchiere, per esempio).
2. Creare una copia dell’impronta usando metodi e materiali comunemente disponibili.
3. Appoggiare l’impronta falsa sul sensore.

Tutto qui. Non c’è niente di magico nel sensore d’impronte della Apple e il fatto che il sensore sia incastonato in un iCoso non lo esonera dalle regole di base della sicurezza informatica: avere come password una cosa che lasci in giro dappertutto e che non puoi cambiare è supremamente stupido.

È sempre stato così. La mia critica non è ad Apple: è all’introduzione strisciante di una sicurezza illusoria basata su un dato così personale e inalterabile come la biometria.

Per chi pensa che il procedimento delineato qui sopra sia troppo complicato, ricordo che è più semplice che craccare un PIN: non devo neanche avere a disposizione l’iCoso per svariati minuti e avere con me un PC appositamente attrezzato (comportamento sospetto in sé). Mi basta una buona fotocamera.

Oggi ti invito a bere una birra e fotografo la tua impronta; di sera creo il duplicato; l’indomani ti entro nell’iCoso semplicemente toccandolo mentre sei alla toilette. E scarico le tue foto, i tuoi contatti, i tuoi documenti, la tua mail, i tuoi messaggi.

Meglio ancora: ti faccio bere qualche birra in più, aspetto che ti addormenti sul divano e poi prendo il tuo telefonino e ci appoggio sopra il tuo dito.

Ah, e non dimentichiamo che per un inquirente può essere difficile obbligarti legalmente a rivelare il PIN del telefonino che contiene i dati che ti incriminerebbero, mentre ottenere una tua impronta è banale: in molti casi le autorità (e vari enti commerciali) le hanno già, come ricorda Sophos. Siete andati negli Stati Uniti? Ricordate quando avete dato l’impronta per entrare comodamente in palestra o in banca?

Certo, un sensore d’impronte è meglio di niente; ma un PIN è molto meglio di un’impronta. Prima di buttarci come i proverbiali (ma bufalini) lemming sulla biometria pensando che sia una soluzione magica sarebbe sensato capirne i limiti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Teatrino della sicurezza: scanner d’impronte beffati

Teatrino della sicurezza: scanner d’impronte beffati

Scanner d’impronte da 44 milioni di dollari battuti dal nastro adesivo

Molto spesso si ha la tentazione di risolvere i problemi di sicurezza ricorrendo a gadget tecnologici molto costosi invece di affrontarli andando alla radice. E’ quello che è successo in Giappone, secondo Yahoo News: in trenta aeroporti del paese sono stati installati, nel corso del 2007, dei lettori automatici di impronte digitali per gestire i controlli d’immigrazione e l’antiterrorismo. Il sistema è costato oltre 44 milioni di dollari ed è in grado di confrontare le impronte dei viaggiatori istantaneamente con quelle di criminali, fuggiaschi e stranieri colpiti da ordine di deportazione.

Non è chiaro quanti terroristi siano stati così gentili da regalare all’amministrazione giapponese le loro impronte digitali in anteprima, ma una cosa è chiara: il sistema fa acqua da tutte le parti. Una donna sudcoreana, colpita da divieto d’ingresso in Giappone e deportata dal paese a luglio 2007 per immigrazione e lavoro clandestino, è riuscita ad eluderlo con un espediente decisamente a bassa tecnologia: si è coperta le dita con appositi nastri adesivi sui quali erano imprese le impronte di un’altra persona, di cui aveva inoltre un passaporto falso.

Ma come, in Giappone nessuno ha visto Diamonds Are Forever (Una cascata di diamanti)? James Bond ci aveva già pensato nel 1971. E Mythbusters ha ripetuto la dimostrazione in una puntata di qualche tempo fa:

C’è però una differenza importante fra il caso di Bond e di Mythbusters e quello giapponese. Infatti al di là della realizzazione pratica dello specifico rilevatore d’impronte, che è il principale colpevole del fallimento in questi casi, lo scenario d’uso giapponese vi aggiunge una delle insidie poco intuitive della biometria.

La biometria funziona bene se la si usa per verificare che una persona è chi dice di essere (ho un’impronta certa di Tizio nel database, voglio sapere se chi appoggia il dito sul sensore è davvero Tizio): in questo caso c’è un’unica impronta che funziona e tutte le altre vengono scartate. Il sistema può essere reso estremamente schizzinoso e quindi efficace (più di quelli di 007 e Mythbusters).

Ma in Giappone questa biometria è stata usata per verificare (si fa per dire) che una persona non è una fra le tante presenti in un database segnaletico. Questo significa che per quanto sia ben realizzato il sensore d’impronte, è facilissimo ingannare il sistema antiterrorismo/anti-clandestini, perché basta dargli in pasto qualunque impronta che non sia fra quelle nel database. In altre parole, invece del criterio “va bene solo X”, si usa il criterio “va bene qualunque cosa non sia X”. E questo garantisce che il sistema sarà sempre bucabile, perché la sua logica di base è fallata.

Ecco la vignetta di Moise, pubblicata inizialmente su AFNews e ripubblicata qui per gentile concessione dell’autore.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.