Recentemente è stata scoperta una vulnerabilità in WhatsApp che avrebbe permesso a chiunque di installare uno spyware su uno smartphone iOS o Android senza entrare in possesso del device. Il codice infetto sarebbe stato attivato successivamente a una risposta a una chiamata vocale e avrebbe permesso di intercettare ogni tipo di comunicazione, compresi i file audio.
La vulnerabilità è stata rapidamente corretta da WhatsApp ma ciò non ci solleva dal rischio che i file audio e le nostre comunicazioni siano intercettate. È noto, per esempio, come sia possibile recuperare da estranei i messaggi vocali inviati anche attraverso il Messenger di Facebook.
Utilizzare file audio, via WhatsApp, Facebook Messenger o Telegram, insomma, non ci garantisce che non possano essere intercettati al pari di qualsiasi altro file presente o inviato dai nostri dispositivi. Vediamo di seguito come è possibile intercettare file audio e conversazioni e se si può evitare.
Come tutti i file, anche gli audio cancellati e vecchi vengono memorizzati nel nostro smartphone, o computer, in cartelle nascoste e difficilmente accessibili, ma comunque ci sono. Quando, a seguito di un’indagine, viene setacciato il telefono di una persona indagata, tutto, ma proprio tutto, può essere recuperato dalla Polizia e anche da un hacker dilettante – definito così per capirci come colui che voglia recar dolo. Basta una semplice ricerca su Google per scoprire che esistono diversi software come NexSpy, anche gratuiti, che, se si ha a disposizione per pochi secondi il telefono, si attivano e sono in grado di recuperare qualsiasi file digitale o intercettare una chat. E tutto senza che il possessore se ne accorga.
Su WhatsApp, e così anche sugli altri sistemi di messaggistica, leggiamo che i nostri messaggi sono crittografati. Dovremmo sentirci al sicuro per questo? Assolutamente no. Esiste una tecnica di attacco che si chiama Man-in-the-middle (MITM) e che aggira facilmente la crittografia. In pratica, chi riesce a introdursi nella rete utilizzata per la comunicazione, intercetta le chiavi di crittografia, ne genera altre che conosce e rimane in ascolto senza che nessuno dei due interlocutori se ne accorga. E ciò può accadere per giorni. Così, tutto ciò che viene condiviso in rete è intercettabile, che si tratti di testi, documenti o file multimediali, compresi i file audio e le conversazioni via Ip.
Se è probabile che agli hacker interessi poco dei nostri affari privati, e questa è l’unica nostra salvezza, la questione cambia quando l’oggetto delle intercettazioni sono informazioni aziendali riservate. In questo caso gli interessi sono enormi: intercettare documenti o conversazioni per poi ricattare le aziende è il primo obiettivo dei cyber-delinquenti. In questo caso, oltre al sistema MITM che coinvolge uno dei due poli, esistono molti altri modi. Per esempio, quelli che sfruttano le vulnerabilità dei browser. Spesso, infatti, chi si collega dal computer a una videoconferenza lo fa attraverso un link che si apre in un browser e un sistema che si chiama WebRTC (Web Real-Time Communications). Ebbene, è possibile non solo intercettare tutta la conversazione ma anche registrarla o trascriverla molto facilmente.
Le telefonate oggi sfruttano pressoché esclusivamente il sistema VoIP. Ciò significa, in pratica, che ogni conversazione, da fisso o da mobile, viene digitalizzata e, per questo, diventa automaticamente una serie di 0 e 1 facilmente intercettabile da software sofisticati, spesso a pagamento, ma anche gratuiti. Detto questo, c’è da ricordare sempre una cosa: parliamo di cose delicate e potenzialmente utili a qualcuno? Se la risposta è no nella maggioranza dei casi, allora possiamo stare abbastanza tranquilli.
Neanche gli Smart Speaker si salvano dall’hacking. È stato dimostrato recentemente che è possibile risalire a qualsiasi dato sensibile di un possessore di uno smart speaker che dialoga con un sistema di voice recognition semplicemente parlandoci. Usando una particolare sequenza di istruzioni vocali è facile introdursi nell’archivio dei dati personali dell’utente e catturare tutte le informazioni sensibili (password e user, numero di carta di credito ecc.). Anche in questo caso, cosa fare? Assolutamente niente se non evitare che il nostro smart speaker finisca in mani sconosciute.
L’ultima frontiera dell’hacking riguarda la riproduzione esatta della nostra voce. Ciò, va da sé, è assolutamente possibile ed è un problema. Con la diffusione dei sistemi di autenticazione vocale, non solo per sbloccare il telefono ma anche per accedere a servizi bancari, per esempio, e il proliferare di bot, ovvero di sistemi che prevedono che dall’altra parte del filo ci sia un algoritmo in ascolto e in risposta, la faccenda si fa molto seria. Chi duplica la nostra voce, il tono, l’inflessione, la pronuncia ecc. può tranquillamente eseguire una transazione bancaria per nostro conto, senza che lo si venga a sapere, se non quando sarà troppo tardi.
A questo proposito ci viene incontro Spitch, multinazionale svizzera nata 5 anni fa e specializzata nello sviluppo e nella implementazione di soluzioni vocali. Piergiorgio Vittori, country manager di Spitch per l’Italia e il Regno Unito ci spiega cosa fa la loro tecnologia per evitare questi rischi.
“I sistemi di autenticazione vocale sono raggirabili al pari di qualsiasi altra procedura – puntualizza il manager – ma ci sono piattaforme che possono limitare di molto i danni. Quando un utente sceglie l’autenticazione vocale per il dialogo con una delle nostre aziende clienti, per prima gli chiediamo di creare un’impronta vocale, una sorta di carta di identità della voce, che viene custodita gelosamente nei server del nostro cliente. Per crearla, il nostro software usa un centinaio di parametri diversi durante al massimo un minuto di conversazione. Siamo in grado di distinguere la voce di due gemelli e non ci basiamo sull’analisi delle parole usate o richiediamo di pronunciare frasi standard, ma puntiamo sul come le parole vengono pronunciate: timbro, inflessione, pronuncia ecc.”.
Durante l’addestramento dell’algoritmo di machine learning, Spitch usa un’analisi cosiddetta passiva, che, appunto, non si basa sulla ripetizione di specifiche parole o frasi. Una volta registrata la voce dell’utente, durante la conversazione successiva, in cui non è necessario chiedere “parole d’ordine”, il software fa un controllo incrociato con l’impronta digitale memorizzata ed è in grado di far accendere una vera lampadina sulla console di gestione dell’operatore anche nel cosiddetto caso di “pistola puntata”. Ovvero, quando siamo noi che parliamo con l’operatore ma siamo costretti da un ricattatore.
“Il nostro software – spiega Vittori – è in grado di comprendere lo stato emozionale dell’utente ed, eventualmente, bloccare la richiesta e inviare una risposta non allarmante (per problemi ai nostri sistemi la preghiamo di recarsi in una filiale)”.
Spitch, inoltre, si tutela evitando che l’impronta vocale sia archiviata su un cloud ed è in grado di proteggere e filtrare i dati sensibili, come il numero di carta di credito, girando in tempo reale la conversazione a un sistema protetto automatico in modo che neanche la persona dall’altra parte possa prenderne nota. Il sistema di Spitch, inoltre, dimostra di funzionare anche nel caso dei cosiddetti “falsi positivi”. Se, per esempio, telefoniamo da un telefono pubblico e non dallo smartphone che usiamo abitualmente, il sistema attiverà dei controlli ulteriori per capire chi c’è dall’altra parte.
Tutto questo funziona se, ovviamente, lo smartphone dell’utente non è già sotto controllo; per questo, l’unica cosa da fare è pagare un abbonamento a un software di protezione.
