Gli smartphone che portiamo dietro hanno mille funzioni: tra queste dobbiamo annoverare il fatto che ci ascoltano e inviano le nostre conversazioni in giro internet? Basta veramente parlare di una marca per poi vedere la pubblicità di quel brand sul proprio cellulare? L’argomento è complesso ,e merita di essere affrontato da un paio di punti di vista.
Il nostro smartphone genera da tempo preoccupazioni per vari aspetti legati alla privacy, facendo emergere i peggiori dubbi spesso sulla base di osservazioni soggettive. La più classica osservazione negativa è quella di 1) parlare del prodotto di marca X con un amico e poi 2) vederne la pubblicità su Instagram o Facebook. A quel punto scatta, un po’ per conseguenza un po’ per associazione di idee, il campionario del buon paranoico su internet: e se la videocamera registrasse di nascosto, magari mentre sono in dolce compagnia? E se il microfono del cellulare si attivasse durante una riunione di lavoro, e quelle parole arrivassero in qualche modo alla concorrenza?
Tante persone sospettano che i loro smartphone li stiano spiando: in teoria potrebbero avere ragione, dato che il rischio in sè sembra ineliminabile (quanto è vero che esisteranno sempre malware nuovi). D’altro canto il rischio va quantificato, per evitare di rimanere sul vago o sul “chi va là” per nulla, anche perchè esiste una discreta letteratura scientifica su questo argomento.
Sulle prime sembrano emerse, da fonti sostanzialmente indipendenti e in momenti diversi, un gran numero di segnalazioni secondo le quali conversazioni private condotte in presenza di smartphone avrebbero generato pubblicità mirate incentrate sull’argomento trattato nella discussione stessa. Tecnicamente non è impossibile, anzi: abbiamo tutte le tecnologie necessarie per farlo. Come illustrato nello schema seguente, basterebbe registrare la voce, trascriverla in formato testo, effettuare il data mining delle parole chiave della discussione e inviarla a server delle ads perchè possa estrapolare pubblicità su quegli argomenti.
Motivo per cui questo genere di voci – che è bene ricordare non sono mai state provate in modo scientifico – hanno attirato l’attenzione dei media ma anche, da qualche tempo, delle autorità di regolamentazione (il Garante per la Privacy italiano, ad esempio). Da sempre affermazioni eccezionali richiedono prove eccezionali, e andare alla ricerca della verità su questo spinoso topic significa partire da un dato di fatto essenziale: se fosse vero, il danno reputazionale per l’app – o peggio ancora per il sistema operativo Android o iOS utilizzato – sarebbe enorme. Motivo per cui si tende a ritenere, forse non completamente a torto, che le grosse aziende tendano a nascondere un operato del genere, per cui la domanda “il mio smartphone mi spia” rischia di diventare un tormentone senza una reale risposta, da smentire e riproporre periodicamente fino alla fine dei tempi.
Per quanto riguarda una spiegazione plausibile di questo potenziale fenomeno, le opinioni sono da tempo divise: se una parte degli esperti tende a respingere ogni sospetto di intercettazione come irrealistico o praticamente paranoico, altri sono costretti a riconoscere (forse più realisticamente) che la possibilità rientra quantomeno nello spettro del potenzialmente possibile. Varrebbe la pena chiedersi, a questo punto, quando e dove sia nata questa credenza-sospetto.
La genesi non è facile da ricostruire, ma uno dei tanti percorsi che potrebbe aver contribuito parte dalla notizia di qualche anno fa che Apple, Meta (all’epoca ancora chiamato Facebook), Google e Amazon avevano chiesto ad alcuni collaboratori esterni di effettuare un lavoro molto particolare: trascrivere frammenti di file audio in formato testo. Le motivazioni erano ovviamente ignote, i collaboratori avevano voluto restare anonimi e il sospetto era che si trattasse di conversazioni private, di provenienza e contesto sconosciuti, che a queste aziende interessava avere in formato testo per poterle sottoporre ad algoritmi di inferenza e/o di intelligenza artificiale. La posizione ufficiale di Facebook (siamo nel 2016) fu che l’azienza non fa uso del microfono per le ads o per modificare il feed di notizie: questo perchè le pubblicità vengono mostrate sulla base del processo di profilazione degli utenti, che a sua volta si basa su un meccanismo differente e ben noto. La profilazione, per intenderci, tratta i dati che gli utenti sottopongono volontariamente, sia in modo diretto (nome e cognome, città di residenza, lavoro svolto, situazione sentimentale ecc.) che in modo indiretto (i “like” che mettiamo in giro). Se lo smartphone ci chiama per nome o ci mostra la pubblicità di un sito di dating, insomma, non ci sentiremmo mai di dare la colpa al microfono acceso, bensì al fatto di aver dichiarato nome e stato sentimentale all’interno di una qualche app. Caso in effetti diverso da quello di cui si parlava all’inizio: un utente che si ritrova la pubblicità di una Audi, ricordando che qualche tempo prima ne aveva parlato con un collega (ed aveva certamente il telefono in tasca).
È dura credere che si tratti di inferenze casuali, ma non possiamo certamente escludere che lo siano.
Appena un anno prima (nel 2015) Samsung era finita nell’occhio del ciclone perchè, a quanto risultava da alcune analisi di informatica forenze, inviava campioni di audio registrato da una smart TV su internet, e lo faceva senza crittografia nè alcun tipo di precauzione. Viene da pensare all’imperizia, in questi casi, ma è anche possibile che i dati venissero inviati per un tipico controllo di qualità, per verificare se la registrazione fosse comprensibile o, se preferite, per testare il microfono. Impossibile non ricordare, andando indietro nel tempo, che intorno al 2002, alcune aziende di informatica tra cui Microsoft segnalavano la presenza di malware aggressivi classificati come RAT, acronimo per Remote Access Trojan. Attribuiti in alcuni casi al gruppo hacker Cult of the dead cow, si trattava di virus malevoli in grado di nascondersi in un sistema operativo e fare da backdoor (porta di accesso “sul retro”) a tutte le funzionalità del dispositivo vittima: un aggressore connesso al dispositivo avrebbe così potuto aprire e chiudere lo sportello del CD-ROM, accendere la webcam tenendo il led disattivato e registrare mediante microfono, come un “telecomando” connesso alla rete.
Non si può fare a meno di notare che le segnalazioni di presunti casi di “smartphone che ascoltano” non manchino, e anche la nostra soggettività potrebbe confermarlo. A questo punto potremmo concentrarci sul parlare di un aspetto tecnologico: dando per buono che un dispositivo venga usato in questi termini, gli smartphone esibirebbero segnali inequivocabili: un aumento del consumo di banda, ad esempio, o quantomeno di grande utilizzo del processore e/o della batteria. Qualsiasi sistema operativo moderno dispone di tool che misurano l’uso della CPU, la temperatura e il consumo della banda, per cui sarebbe facile accorgersene e provare definitivamente la cosa. Stranamente, nessun esperto di informatica è mai riuscito a fare una cosa del genere, il che depone a favore della tesi che ci sia una spiegazione diversa dietro questi fenomeni.
Uno degli studi più citati sul tema è quello di Wandera del 2019, società che si occupa di sicurezza informatica e che, in collaborazione con la BBC, ha realizzato un celebre esperimento: quattro telefoni erano stati posizionati in due stanze separate: due telefoni Android della Samsung e due iPhone. Una coppia Android/iPhone veniva posizionata con tutti i permessi attivi (tra cui quelli del microfono) in una stanza A, nella quale venivano inviati trenta minuti di pubblicità di cibo per animali. In una differenze stanza B si posizionavano gli altri due telefoni senza inviare nulla, in modo da disporre di un termine di paragone sensato. Veniva lasciate aperte le app di Facebook, Instagram, Chrome, SnapChat, YouTube e Amazon, concedendo a ciascuna di esse tutte le autorizzazioni richieste. Monitorando l’attivazione dei servizi vocali Siri e OK Google, contrariamente a quello che si potrebbe temere non sono state raccolte prove tali da far concludere che gli smartphone fossero in ascolto: provando a usare i telefoni “bombardati” con gli audio a tema “cibo per animali” e quelli rimasti nel silenzio, non c’erano differenze in termini di pubblicità mostrate, e tutti i segnali mostravano una correlazione debole o quasi nulla. L’esperimento è stato ripetuto altre volte in contesti e luoghi diversi (un buon abstract riassuntivo dello stato dell’arte è di Kroger – Raschke), e ha portato allo stesso risultato: non c’erano evidenze che l’ascolto ambientale venisse utilizzato per trarre parole chiave utili per il targeting (la scelta di quali pubblicità farci vedere). Peraltro se si potesse ripetere un esperimento del genere periodicamente, per ogni aggiornamento dei sistemi operativi e/o dei modelli di telefono, idealmente si potrebbe dimostrare in modo certo se e quali smartphone ascoltano le nostre conversazioni. Siamo, in sostanza, scientificamente sicuri che non sia possibile fare un’operazione del genere, anche perchè sarebbe classificabile come falla informatica grave, qualche ricercatore prima o poi se ne accorgerebbe e, come scrivevamo all’inizio, il danno commerciale inflitto da una cosa del genere sarebbe incalcolabile.
E in Italia? Nel 2021 il Garante della Privacy aveva avviato un’indagine sull’eventuale uso improprio dei microfoni degli smartphone da parte di alcune app, che raccolgono dati personali senza il consenso informato degli utenti. Da questa analisi è uscito fuori che alcune app possono effettivamente attivare il microfono per carpire informazioni, e poi per inviare pubblicità mirata. Da qui a dire che lo facciano di nascosto, ovviamente, ce ne passa, anche se viene in mente che sarebbe possibile attivare un microfono in modo ingannevole, sfruttando l’imperizia di alcuni utenti e considerando periodicamente i bollettini di sicurezza segnalano app che richiedono permessi di natura dubbia (per intenderci: videogiochi arcade che richiedono l’uso del microfono, senza contare le numerose app pirata che emulano funzionalità di quelle a pagamento in modo gratuito, e che potrebbero “farsi pagare” attivando il microfono in modo indebito).
Il processo di generazione degli annunci all’interno delle app è in genere totalmente automatico, in quanto si basa sulle preferenze espresse dagli inserzionisti (su piattaforme tipo Facebook ADS) e su una successiva inferenza algoritmica (coadiuvata dall’IA, almeno negli ultimi anni). Tale attività viene effettuata su dati come, ad esempio, cookie, siti visitati, app installate, dati personali inseriti mediante digitazione e così via; d’altro canto l’attivazione del microfono è in genere esplicita su ogni smartphone, dato che i sistemi operativi sono stati attenzionati sulla questione da tempo – per cui non dovrebbe essere complesso accorgersi di essere ascoltati. Di fatto, oggi, sia Android che iOS richiedono all’utente esplicitamente l’attivazione del microfono.
Ricordiamo che è possibile recarsi all’interno delle impostazioni di sistema per controllare quali app dispongono del permesso per l’uso del microfono: basta semplicemente seguire il percorso “Impostazioni > Privacy > Gestione autorizzazioni > Microfono“. Per iOS apri le Impostazioni sul tuo dispositivo, scorri verso il basso e seleziona Privacy, nella sezione “Privacy”, tocca Microfono: qui vedrai un elenco di tutte le app che hanno richiesto l’accesso al microfono. Puoi attivare o disattivare l’accesso per ciascuna app tramite l’interruttore accanto al nome dell’app.
I principali indiziati dell’ascolto illecito delle nostre conversazioni dovrebbero essere, peraltro, gli assistenti vocali, i quali si attivano in seguito all’aver pronunciato parole chiave specifiche (“OK Google”, “Hey Siri”): questo suggerisce che non sembra molto plausibile che app del genere vengano utilizzate a scopo di spionaggio, perchè non puoi indurre un utente a dire quelle frasi prima di procedere.
Per spiegare il fenomeno in via non strettamente tecnologica c’è uno studio del professor Arnold Swicky della Stanford University, che ha descritto con un paper divulgativo la cosiddetta illusione di frequenza: un fenomeno complesso di cattiva percezione della realtà che coinvolge tutti, senza distinzioni. Partendo dal presupposto che le considerazioni che facciamo sono basate sulla soggettività e per questo ignorano, scrive il prof, una “visione panottica” (ovvero complessiva) delle variazioni, si parla di illusione di frequenza per esprimere la cattiva percezione o l’idea distorta che non appena notiamo un fenomeno X (vedere una pubblicità familiare su un certo smartphone) siamo propensi a pensare che X accada molto spesso (generalizzazione). Diamo un estremo peso emotivo alle coincidenze e ignoriamo bellamente tutto ciò che non lo è, e questo potrebbe spiegare perchè ce ne accorgiamo e/o ci preoccupiamo.
Il fenomeno del bias di frequenza è il risultato, secondo Swicky, di altri due bias cognitivi: la cosiddettanattenzione selettiva (notiamo soltanto le cose che sono salienti dal nostro punto di vista, ignorando così ulteriori dettagli importanti) e il bias di conferma (notiamo esclusivamente ciò che sembra confermare l’ipotesi iniziale “i cellulari ci ascoltano“). Come se non bastasse, c’è la tendenza a considerarci “noi contro di loro”, a ragionare in termini “tribali”, per cui certe innovazioni diventano importanti perchè sono mal giudicate (a prescindere). Le innovazioni, in un mood di potenziale tecnofobia, sono percepite come “cattive”, perchè si ritiene a priori che provengano dalla pigrizia, dall’ignoranza o dal “volersi dare delle arie”, esibendo capacità tecnologiche che la maggioranza delle persone non capirebbero (il fenomeno viene attribuito dal professore come ideologia del linguaggio).
Andrebbe fatto altresì un distinguo tra i produttori di cellulari e chi cerca di sfruttarne le caratteristiche: mon sembra un azzardo, in altri termini, sospettare che più che i produttori di telefono (che finirebbero per fallire, dopo una mossa del genere) aziende come Facebook o Google possano avere interesse nel costruire delle app sempre più spione, se preferite dei “generatori di coincidenze” sempre più efficaci, i quali possano tenere conto di dati come l’uso di bluetooth, la geolocalizzazione sempre più precisa, la frequenza di uso delle app, le ricerche che abbiamo fatto in un certo periodo. Non serve propriamente un microfono per farlo, e per convincersene in modo definitivo basta considerare che, ad esempio, senza andare a pensare chissà cosa anche dai semplici acquisti contenuti nella tessera del supermercato si possono inferire informazioni precise su di noi (se ci procuriamo test per la gravidanza, prodotti precotti, pannolini, contraccettivi). La necessità di registrare quello che diciamo, al contrario, sembra quasi superflua, considerando l’ammontare di dati di cui già queste società spesso dispongono da tempo, e che sono riuscite ad ottenere nel modo più ovvio: chiedendoci di inserirle al momento della registrazione, e affinando la profilazione con l’uso che facciamo ogni giorno di social network, chat e via dicendo.
C’è un ulteriore capitolo da tenere in considerazione su questo controverso argomento, che è quello della tecnologia Active Listening: un annuncio di Cox Media di fine 2023 sembrava che ammettesse ciò che tutti temevamo, ovvero che gli smartphone che abbiamo in tasca possono diventare dispositivi di intercettazione ambientale. Come emerso dalla ricerca di Attivissimo sulla fonte ufficiale, pero’, si trattava della presentazione di un nuovo software a cui sembra che Amazon, Google e compagnia siano interessati, ma che non viene ancora utilizzato come strumento di marketing. Sembra peraltro che Cox Media Group sia stata poi “scaricata” come partner da tutte le succitate aziende, visto che non è più presente nei siti ufficiali e soprattutto che l’annuncio originale è stato cancellato (mossa che quasi certamente alimenterà ulteriori complottismi). Forse non hanno ritenuto funzionale la strategia di pubblicizzare apertamente una tecnologia del genere, anche in considerazione del fatto che queste aziende ne sanno già molto per altre vie e che, per una questione di buonsenso, molti paesi considererebbero illegale fare una cosa del genere, e l’immagine delle aziende ne sarebbe troppo compromessa.
Se l’illusione di frequenza rimane ipotesi più plausibile per spiegare quantomeno perché crediamo che i nostri smartphone ci possano spiare – nonostante non sia mai stato dimostrato da nessuno, alla prova dei fatti, rimane la considerazione che un ipotetico malware possa comunque essere creato a tale scopo. Si trattava tuttavia in questi casi di intercettazioni ambientali mirate e rivolte a determinate persone, il ovviamente non riduce la portata del fenomeno (che, anzi, andrebbe discusso in opportune sedi) ma non ci fa parlare di intercettazione di massa a vanvera.
Avere un complotto di meno da dover smentire o dimostrare, di questi tempi, non è poco.
Ingegnere per passione, consulente per necessità; ho creato Lipercubo.it. – Mastodon