Vai al contenuto
Se l’ex ti molesta e spia tramite l’Internet delle Cose

Se l’ex ti molesta e spia tramite l’Internet delle Cose

Quando finisce un amore, probabilmente l’ultima cosa che si ha in mente è la gestione delle password e dei dispositivi informatici che si hanno in condivisione. Eppure molte persone, soprattutto donne, stanno scoprendo che queste password e questi dispositivi stanno purtroppo diventando armi di molestia e persecuzione nelle mani di ex partner violenti e possessivi.

Il New York Times ha pubblicato di recente un’indagine sulle vittime di questa nuova forma di tormento a distanza: tante persone, dopo la fine di una relazione, hanno scoperto che l’ex partner aveva ancora le password dei loro account di mail e dei social network e poteva quindi spiare la loro corrispondenza e seguire i loro spostamenti e rapporti sociali. Ma soprattutto aveva il controllo dei dispositivi digitali di gestione della loro casa: accendeva e spegneva a piacimento l’aria condizionata, il riscaldamento e le luci domestiche, faceva suonare il citofono o comandava gli altoparlanti “smart” per suonare musica ad altissimo volume nel cuore della notte oppure spiava in casa attraverso le telecamere di sicurezza collegate a Internet. Telecamere installate, paradossalmente, per sentirsi più sicuri.

Chi commette questi abusi sfrutta queste tecnologie per continuare ad esercitare un controllo ossessivo sulle proprie vittime, che si sentono particolarmente impotenti. Dal punto di vista legale, infatti, questo genere di intrusione spesso non è coperto dagli ordini restrittivi o dagli accordi di divorzio. Si tratta di un problema nuovo che gli avvocati spesso faticano a prendere in considerazione.

Cosa anche peggiore, le vittime di questo stalking spesso non vengono credute quando dicono che i propri ex partner le spiano e sanno tutto quello che dicono e fanno, perché molti non pensano alle informazioni disseminate dai dispositivi informatici e non immaginano che un ex possa arrivare a tanto.

Possono sembrare problemi tipicamente americani, ma i dispositivi domestici connessi a Internet per gestirli a distanza stanno prendendo piede anche da noi. Sta diventando difficile comprare elettrodomestici che non abbiano una connessione Wi-Fi: ho cercato di recente una lavatrice-asciugatrice nuova per il Maniero Digitale e ho trovato solo modelli da collegare a Internet e gestire tramite app, cosa che ho prontamente disattivato.

Inoltre nel mio lavoro di giornalista informatico ho seguito diversi casi di donne maltrattate fisicamente dai partner e poi perseguitate da quei partner anche dopo la fine della relazione e della coabitazione, attraverso il monitoraggio e il controllo dei loro dispositivi digitali, per esempio tramite un’app di tracciamento installata di nascosto sul loro smartphone o una password di Gmail condivisa quando l’ex partner non era ancora ex. Le donne non riuscivano a capire come facesse il loro ex a sapere sempre dove andassero e a raggiungerle sul posto, angosciandole con la sua presenza o con nuove violenze: erano tradite dal proprio smartphone, sul quale era attiva la geolocalizzazione, accessibile al loro aguzzino.

Rimediare non è facile. Il gesto drastico e istintivo di staccare o sostituire tutti i dispositivi informatici, compresi computer e smartphone, ha costi notevolissimi. Cambiare account di mail e sui social network significa isolarsi dai rapporti umani proprio in un momento particolarmente difficile della propria vita. Cambiare le password dappertutto, anche sul router Wi-Fi di casa, richiede competenze che non tutti hanno e quindi comporta spesso l’intervento di una persona esperta e soprattutto di fiducia, che va cercata al di fuori della cerchia degli amici che si hanno in comune con il proprio ex perché a volte questi “amici” sono in realtà complici dell’ex possessivo.

Essere consapevoli del problema è comunque il primo passo per risolverlo, per esempio includendo negli accordi di separazione anche la consegna delle password di casa e la condivisione delle spese tecniche per cambiarle, esattamente come si fa per le chiavi di casa e per il cambio delle serrature.

Inoltre conviene sostituire lo smartphone con un telefonino vecchio stile, che non è hackerabile; si mantiene lo stesso numero di telefono e si usano gli SMS al posto di WhatsApp.

È paradossale che una delle difese più efficaci ed economiche contro questo tipo di persecuzione sia il regresso tecnologico, ma funziona.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il lucchetto “smart” Tapplock è ancora più vulnerabile. E non è il solo

Il lucchetto “smart” Tapplock è ancora più vulnerabile. E non è il solo

Ricordate la storia del lucchetto “smart” da cento dollari della Tapplock, che trasmette pubblicamente il proprio codice di sblocco? Già questo è un disastro informatico, ma c’è di peggio: è emerso che il sito Web attraverso il quale si gestiscono questi lucchetti, se interrogato con un semplice comando, rivelava non solo tutti i dati necessari per calcolare il codice di sblocco ma anche la localizzazione di ogni singolo lucchetto Tapplock.

La falla è stata risolta, ma la figuraccia no.

Un’altra azienda, della quale non è stato rivelato il nome, ha fatto ancora di peggio. Ha mandato uno dei suoi lucchetti smart a LockPickingLawyer, un esperto di sicurezza fisica, e quando lui ha fatto notare che il lucchetto era apribile semplicemente svitando tre viti, ha risposto che “il lucchetto è invincibile per chi non ha un cacciavite”:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lucchetto “smart” annuncia a tutti la propria password

Lucchetto “smart” annuncia a tutti la propria password

Cento dollari per un lucchetto sono una bella cifra, ma quello venduto dalla Tapplock è un lucchetto speciale, perché è “smart”: contiene un processore e un sensore d’impronte digitali e si sblocca appoggiando sul sensore un dito autorizzato. Niente chiavi da perdere, nessuna combinazione da ricordare. C’è anche un’app per gestire fino a 500 impronte. Pratico, no?

Praticissimo, e specialmente per i ladri. I ricercatori della Pen Test Partners hanno scoperto infatti che le promesse di sicurezza del lucchetto erano decisamente fantasiose. Hanno scritto un’app che sblocca qualunque lucchetto smart di questa marca in due secondi.

Come hanno fatto? Hanno comprato uno di questi lucchetti e hanno analizzato il traffico Bluetooth fra il lucchetto e l’app. Per prima cosa si sono accorti che il codice di sblocco che veniva trasmesso era uguale per tutti gli utenti autorizzati di quell’esemplare di lucchetto (che già non è una bella cosa). Ma poi hanno scoperto che il codice di sblocco era derivato dal MAC address del dispositivo.

Un MAC address è l’identificativo univoco che viene assegnato a un singolo esemplare di qualunque oggetto che va connesso a una rete. Viene trasmesso necessariamente in chiaro in ogni pacchetto di dati che viene inviato dal dispositivo, e deve essere ricevibile da qualunque dispositivo in ascolto. Usarlo come base per le password è quindi un’idea stupendamente idiota.

Per fare un paragone, è l’equivalente di usare come password il proprio nome utente.

Eppure TappLock viene venduto dicendo che usa “crittografia AES a 128 bit, la stessa usata dai militari”.

L’azienda ha confermato la vulnerabilità e ha pubblicato un avviso che raccomanda sibillinamente ai propri clienti di aggiornare il firmware dei lucchetti “per avere la protezione più recente”, senza dire che la protezione attuale è un colabrodo.

Come per tanti oggetti dell’Internet delle Cose, a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Assistenti vocali troppo pettegoli: Amazon Echo cattura e invia conversazione privata

Assistenti vocali troppo pettegoli: Amazon Echo cattura e invia conversazione privata

Amazon Echo in versione HAL.
Credit: Cryteria (CC-BY).

Ricordate quando dicevo che mettersi in casa un microfono sempre aperto e connesso a Internet, come per esempio un Google Home o un Amazon Echo, era una pessima idea perché esponeva al rischio che qualcuno ascoltasse le conversazioni? È successo. Non ci voleva un genio particolare per prevederlo, per cui non mi voglio prendere meriti da profeta, ma almeno un “ve l’avevo detto” credo di potermelo permettere.

Un assistente vocale (o “altoparlante smart”) Echo di Amazon, installato in una casa a Portland, in Oregon, ha ascoltato, registrato e inviato una conversazione privata tra moglie e marito a un conoscente degli abitanti della casa che vive a Seattle. Amazon ha confermato la notizia, accolta inizialmente con una certa incredulità.

Tutto è iniziato a metà maggio scorso con una telefonata da uno dei dipendenti della coppia, che avvisava di scollegare subito i dispositivi di Amazon presenti in casa perché erano stati “hackerati”. Il dipendente ha spiegato che aveva ricevuto dei file audio che contenevano registrazioni delle conversazioni avvenute nella casa. La coppia, inizialmente incredula, ha dovuto ricredersi quando il dipendente ha descritto il contenuto di una conversazione e poi gliel’ha fatta riascoltare.

Amazon, contattata dalla coppia, si è scusata, ha analizzato i log dell’altoparlante smart e ha spiegato come è avvenuta la violazione della sfera privata: il dispositivo Echo, permanentemente in ascolto, ha captato delle parole nella conversazione della coppia che ha interpretato come un comando di attivazione (il comando standard è il nome Alexa). Poi ne ha captate delle altre che ha interpretato come una richiesta di inviare un messaggio (send message).

A questo punto Echo ha detto “To whom?” (“A chi?”) e poi si è messo in ascolto in attesa che qualcuno dicesse il nome del destinatario del messaggio. La coppia, ignara della richiesta e del microfono aperto, ha proseguito la propria conversazione ed Echo ha interpretato alcune delle loro parole come il nome di una persona presente nella rubrica dei contatti.

Echo ha poi chiesto conferma dicendo “[nome del contatto], right?” e si è messo in attesa di una risposta. Intanto la coppia ha continuato a parlare ed Echo ha interpretato erroneamente alcune delle loro parole come una conferma (“right”) e quindi ha inviato il messaggio, contenente un brano della conversazione.

In sintesi:

  • Coppia: bla bla bla bla bla
  • Echo capisce che gli è stato ordinato di mandare un messaggio e chiede “A chi?”
  • Coppia: bla bla bla bla bla
  • Echo capisce che gli è stato detto il nome del contatto a cui mandare il messaggio e chiede “A [nome], giusto?”
  • Coppia: bla bla bla bla bla
  • Echo capisce che gli è stato risposto “Giusto”, inizia a registrare il “messaggio” e lo manda al contatto.

Tre errori di interpretazione concatenati sono un evento improbabile, certo, ma l’evento improbabile è avvenuto, dimostrando chiaramente che questi dispositivi possono fraintendere facilmente i comandi vocali e addirittura inventarsene quando non ne sono stati dati.

La coppia ha chiesto ad Amazon il rimborso dei dispositivi Alexa. Amazon per ora non ha accettato e ha dichiarato che sta prendendo “misure affinché questo non succeda in futuro”.

Fonte aggiuntiva: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Amazon Echo modificato diventa microspia; occhio agli altoparlanti “smart”

Amazon Echo modificato diventa microspia; occhio agli altoparlanti “smart”

Credit: Cryteria (CC-BY)

Pochi giorni fa mi trovavo in un centro commerciale (il Media Markt di Lugano), nel reparto di elettronica di consumo, quando mi è arrivata una chiamata al telefono. La chiamata riguardava una questione di lavoro abbastanza riservata ed ero in un luogo pubblico, ma non mi sono preoccupato più di tanto perché vicino a me non c’era nessuno e ho tenuto basso il volume della mia voce. Ma a un certo punto una voce accanto a me ha detto “Mi dispiace, ma non ho capito.”

La voce proveniva non da una persona, ma da un oggetto piazzato su uno scaffale di esposizione: un Google Home Mini, uno di quei dispositivi che oggi va di moda chiamare “altoparlante smart” o “assistente per la casa” ma che in sintesi sono dei microfoni permanentemente aperti e connessi a Internet. Oggetti che secondo chi li produce dovremmo metterci in casa per poter interagire con Internet e i servizi commerciali della Rete semplicemente tramite la nostra voce.

Per esempio, se abbiamo le mani occupate, possiamo chiedere all’assistente digitale di comporre per noi il numero di telefono di un amico o di mandargli un messaggio. Se viviamo in una casa “smart”, attrezzata con impianti di controllo informatizzati, possiamo chiedere a questo assistente di accendere le luci, abbassare le tapparelle, regolare il riscaldamento o l’aria condizionata, programmare la TV o suonare le nostre canzoni preferite. E naturalmente fare shopping online.

Tutto molto bello e futuribile, ma il mio piccolo incidente personale mostra il rovescio della medaglia di queste tecnologie, che è meglio conoscere per scegliere se acquistarle e per impostarle correttamente. Google Home Mini, infatti, si attiva ogni volta che capta qualunque suono che secondo il suo software corrisponde a “OK Google”. Un altro prodotto concorrente, Echo di Amazon, si attiva chiamandolo per nome, ossia “Alexa”. Tutto quello che dite dopo queste parole di attivazione viene registrato e trasmesso ai computer centrali di Google e rispettivamente di Amazon per essere analizzato e decodificato.

In altre parole, tutto quello che viene detto in casa di chi ha un “altoparlante smart” viene ascoltato dal dispositivo; se, a giudizio di quel dispositivo, è stata pronunciata la frase di attivazione, tutto quel che viene detto subito dopo viene inviato a Google o Amazon.

Il problema è che a volte il software di riconoscimento vocale di questi dispositivi sbaglia e quindi pensa che sia stata detta la frase di attivazione quando in realtà non è stata pronunciata. Il risultato, come ho già accennato per gli smartphone, è che pezzi delle nostre conversazioni private possono finire archiviati involontariamente e inconsapevolmente presso le grandi aziende di raccolta di dati personali.

È un fatto poco conosciuto e sul quale occorre riflettere. Una conversazione che facciamo in confidenza a casa di un amico informatizzato potrebbe essere registrata e ascoltata di nascosto tramite questi dispositivi “smart”.

La protezione apparente offerta dalla frase di attivazione, fra l’altro, è già stata scavalcata. I ricercatori della società di sicurezza informatica Checkmarx hanno infatti trovato il modo di attivare di nascosto e permanentemente il microfono incorporato in Amazon Echo, per cui tutto quello che viene captato dal suo sensibilissimo microfono viene non solo trasmesso ma viene anche trascritto, pronto per l’uso e l’abuso.

La falla è solo un proof of concept e Amazon l’ha già corretta, ma è già la seconda del suo genere che è stata trovata. Per fortuna in questi dispositivi esiste l’opzione di richiedere la pressione di un tasto per accendere il loro microfono. Valutate se è il caso di attivarla, oppure di non mettersi del tutto un microfono aperto in casa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Videocitofono online un po' troppo pettegolo

Videocitofono online un po’ troppo pettegolo

La sicurezza dei campanelli o videocitofoni digitali è ancora tutta da inventare: si tratta di oggetti indubbiamente utili, perché consentono di vedere chi c’è alla porta tramite lo smartphone, sia quando siamo in casa sia quando siamo lontani da casa, come ho raccontato di recente, ma essendo connessi a Internet è importante assicurarsi che non abbiano difetti di progettazione che consentano a un malintenzionato di abusarne via Internet.

The Information segnala il caso del “campanello smart” della Ring, azienda acquisita di recente da Amazon per un miliardo di dollari: un uomo di Miami, in Florida, Jesus Echezarreta, dopo aver chiuso la relazione con il proprio partner, ha cambiato la password di questo campanello, eppure l’ex partner è riuscito comunque a scaricare video dal dispositivo e persino a farlo suonare nel cuore della notte. Tutto tramite smartphone.

L’azienda ha risolto questa falla a gennaio scorso, ma il difetto di progettazione era grave: se un utente era già connesso al campanello tramite l’app, il software del Ring gli consentiva di restare connesso anche dopo un cambio di password. Una progettazione intelligente, invece, avrebbe obbligato tutti a riconnettersi. È un po’ come cambiare la serratura alla porta di casa e poi scoprire che si apre anche usando le chiavi di quella vecchia.

Anche dopo la correzione apportata da Ring, comunque, i test indicano che un utente resta collegato anche fino a ventiquattro ore dopo il cambio di password. Se state pensando di installare questi dispositivi, valutate bene a chi affidarne l’accesso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Viviamo nel futuro (a volte): il campanello smart incontra l’auto smart

Se mi seguite da qualche tempo sapete che sono sempre molto perplesso sull’utilità e sulla sicurezza degli oggetti digitali interconnessi via Internet, quelli che compongono la cosiddetta Internet delle Cose, però devo ammettere che quando la tecnologia di questi campanelli digitali funziona, permette cose prima impensabili.

Sta spopolando, per esempio, il video in cui Ryan Ross, proprietario di un campanello della Ring nel Regno Unito, specificamente a Londra, risolve in modo geniale la classica situazione del fattorino che immancabilmente arriva a consegnarci un pacco quando non siamo in casa. Anche Ryan Ross è lontano da casa, ma riesce a parlare con il fattorino e a vederlo via Internet, attraverso la telecamera del campanello “smart”.

Ryan spiega al fattorino di Amazon cosa fare per consegnargli il pacco senza lasciarlo incustodito: metterlo nel bagagliaio della sua auto. Che però è chiusa a chiave.

Nessun problema, dice Ryan: la apro io via Internet.

Il fattorino è già perplesso per il fatto di parlare tramite citofono con qualcuno che non è in casa, e gli chiede se è sicuro di poterlo fare. Ryan dice di sì, perché ha un’auto elettrica Tesla, che è una di quelle che si possono gestire via Internet tramite un’app, e così sblocca da lontano il bagagliaio.

Il fattorino, che a questo punto è ancora più sorpreso di vedere che l’auto davvero si apre da sola, mette il pacco nel bagagliaio, che poi Ryan richiude a chiave, sempre tramite l’app sullo smartphone, mentre tiene sotto controllo video la situazione grazie al campanello, in modo da non chiudere il bagagliaio per esempio in testa al sempre più incantato fattorino.

Il video ha già avuto cinquantamila di visualizzazioni ed è una bella dimostrazione dei vantaggi dell’Internet delle Cose. Perlomeno quando queste cose digitali sono progettate bene, installate meglio e gestite in modo intelligente e creativo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

La TV svizzera indaga sull’Internet delle Cose: quante telecamere vulnerabili

Nei mesi scorsi ho collaborato con la trasmissione Patti Chiari della Radiotelevisione Svizzera per esplorare l’Internet delle Cose. Io mi sono occupato in particolare delle telecamere di sorveglianza vulnerabili. Abbiamo visto cose che non è possibile mostrare in televisione, neanche censurandole, e che avrebbero consentito ricatti personali devastanti a uomini e donne.

Il risultato dell’inchiesta, arricchito dai contributi di molti esperti informatici, è andato in onda venerdì scorso (13 aprile) e lo potete vedere qui (con materiali supplementari) oppure qui sotto.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Amazon Echo (Alexa) si mette a ridacchiare in casa

Ultimo aggiornamento: 2018/03/12 21:50.

Questa risatina inquietante è prodotta, secondo alcune segnalazioni confermate da Amazon, da Alexa, l’assistente vocale incorporata in Amazon Echo, un dispositivo che le persone comprano e si mettono in casa senza pensare che ha un microfono sempre aperto che capta tutti i suoni emessi in casa.

Il dispositivo si comporta in questo modo senza motivo apparente. In teoria questi assistenti vocali dovrebbero reagire soltanto quando vengono attivati dalla wake word, che di solito è “Alexa”, “Ehi, Siri”, “Ehi Cortana” oppure “Ok Google”, ma a volte si attivano perché hanno interpretato male un rumore o una frase che hanno captato, dice Amazon al Washington Post.

Mettersi in casa un microfono sempre aperto e connesso a Internet continua a sembrarmi una pessima idea, ma a quanto pare molte persone non hanno ben presente come funzionano questi oggetti e se li comprano e installano in casa senza preoccupazioni e senza rendersi conto di come è possibile abusarne.

Un esempio: molti di questi assistenti non discriminano le voci e accettano comandi da chiunque dica le loro wake word. Tanto in casa ci siete solo voi, no? Non è detto: in casa vostra possono arrivare facilmente anche le voci degli altri. Per esempio quelle delle persone che parlano dalla TV e invocano Alexa, come è già successo. Oppure quelle delle persone con le quali state chattando a voce.

Un trucco particolarmente cattivo ma educativo è questo: molti utenti usano servizi di streaming per trasmettere in tempo reale su Internet le proprie sessioni di videogioco o altre attività intime, pensando di non essere rintracciabili. Ma indovinate che cosa succede se qualcuno dice “Alexa, say my name” oppure “Alexa, say my address”.

Fonti aggiuntive: Naked Security, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Un’altra telecamera Internet vulnerabile: MiSafes Mi-Cam

Un’altra telecamera Internet vulnerabile: MiSafes Mi-Cam

Le telecamerine di sorveglianza IP, quelle che si collegano tramite Wi-Fi e si usano per tenere d’occhio bambini, animali o ambienti domestici e di lavoro, si rivelano ancora una volta dei colabrodo di sicurezza. Chi ha una Mi-Cam di MiSafes, per esempio, in vendita in negozi online come Amazon, si espone al rischio che chiunque gli possa guardare in casa, ascoltare le conversazioni e addirittura mettersi a parlare con chi è in casa. Se l’idea che uno sconosciuto parli al vostro bambino nella sua cameretta non vi entusiasma, staccate questa telecamera.

Secondo la società austriaca di sicurezza informatica SEC Consult, infatti, le telecamerine Mi-Cam di MiSafes (e tutte quelle analoghe con altri marchi) hanno una serie di difetti gravissimi di progettazione. Hanno, per esempio, una password di amministrazione predefinita di quattro cifre. Cosa ancora più grave, sono interrogabili via Internet semplicemente modificando una singola richiesta HTTP (in pratica basta cambiare i parametri del link di collegamento).

Questo significa che uno sconosciuto, usando soltanto una normale connessione a Internet, può guardare, ascoltare e persino parlare attraverso queste telecamere.

La cosa peggiore, però, è che il fabbricante non solo non rilascia aggiornamenti correttivi, ma non risponde neanche alle segnalazioni di vulnerabilità dei suoi prodotti. L’unica cosa che può fare chi ha comprato questa telecamera è buttarla via oppure usarla sapendo che le immagini e l’audio sono pubblici.

Fonti aggiuntive: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.