Gli smart device sono belli e di moda e offrono servizi di alta qualità, ma gli utenti dovrebbero sapere che ogni cosa ha un prezzo. E non stiamo parlando del prezzo puro e semplice, ma del fatto che questi dispositivi raccolgono informazioni sull’utilizzo che gli utenti ne fanno e inviano una quantità notevole di informazioni al riguardo a terze parti. Lo scrive il sito specializzato Help Net Security, sottolineando come questo genere di informazioni sia assai interessante per le aziende: utilizzate per migliorare e personalizzare i servizi, per arricchire il profilo dell’utente relativi a casa sua e ai suoi interessi, inviare pubblicità sempre più mirate e tagliate appunto su questi specifici interessi, condividere (o vendere) queste informazioni ad altre terze parti e così via.
Finché le regole sulla privacy non si adegueranno alle mutate condizioni di mercato, la maggior parte di noi è lasciata a se stessa, per così dire, in balia dei nostri dispositivi, dipendente dai ricercatori specializzati in privacy e sicurezza nella ricerca delle potenziali trappole derivanti dall’uso di particolari dispositivi IoT.
Studi e ricerche recenti
Due gruppi di ricercatori – uno della Northeastern University e dell’Imperial College London e l’altro della Princeton University e della University di Chicago – hanno recentemente pubblicato due paper separati che riguardano una serie di punti legati ai dispositivi IoT.
Si tratta di informazioni che riguardano 81 diversi dispositivi IoT muniti di connettività IP, fra cui telecamere di sicurezza e videocitofoni, hub intelligenti, sistemi di illuminazione smart, termostati, smart tv, smart speaker con assistente vocale e vari altri dispositivi.
Di questi 81 dispositivi analizzati, 46 sono stati acquistati in negozi negli Stati Uniti e sviluppati sempre in quel paese, mentre il resto proviene da negozi britannici ed è stato sviluppato in quel paese. Lo studio ha raccolto i dati arrivati da 36 partecipanti al test che hanno utilizzato i prodotti sopra citati.
Fra le altre cose, i ricercatori della Northeastern University e dell’Imperial College London hanno riscontrato che:
- Le dieci aziende contattate dal maggior numero di dispositivi sono state Amazon, Google, Akamai, Microsoft, Netflix, Kingsoft, 21Vianet, Alibaba, Beijing Huaxiay ed AT&T.
- Numerose terze parti (in particolare Amazon, Google e Akamai) ricevono informazioni da diversi di questi dispositivi IoT, consentendo di profilare i consumatori.
- I dispositivi americani hanno la tendenza a contattare un numero superiore di terze parti, visto che le norme sulla privacy sono meno stringenti.
- I televisori (Samsung TV, LG TV, Roku, Fire TV) contattano la maggior parte delle terze parti fra tutte le categorie di device presi in considerazione.
- Quasi tutti i televisori hanno contattato Netflix, anche quelli che non avevano un account Netflix configurato a bordo.
- La maggior parte del traffico è criptato, e ci sono differenze regionali sull’utilizzo della crittografia.
- Sono davvero esigue le informazioni sensibili personali esposte apertamente, ma le interazioni dell’utente con i dispositivi possono essere desunte in modo presumibile, visto che la crittografia non nasconde le interazioni che spinge un dispositivo a generare il traffico di rete.
- Ci sono esempi di comportamenti inattesi come per esempio dispositivi che inviano audio e video all’improvviso. Ad esempio, i videocitofoni cominciano inaspettatamente a scattare foto e a riprendere video quando qualcuno cammina di fronte all’ingresso di casa. Non c’è modo di spegnere questa funzione e accedere alle foto e ai video costa molto oppure è impossibile.
I ricercatori di Princeton e della Chicago University si sono interessati di più a tracciare l’ecosistema legato ai dispositivi streaming delle Tv degli Over the Top come ad esempio Roku e Amazon Fire TV.
I ricercatori della Princeton University e della University di Chicago hanno scoperto che:
- I principali tracker online (Google, Facebook) sono molto importanti nell’ecosistema OTT, insieme con altri player di nicchia.
- Gli identificativi dell’utente sono condivisi con tracker di terze parti.
- Alcuni canali condividono i titoli dei video con i tracker di terze parti.
- La maggior parte dei canali utilizza almeno una connessione non criptata.
- Le opzioni per la privacy che dovrebbero limitare il monitoraggio concretamente non fanno un buon lavoro.
- Una vulnerabilità nel controllo remoto delle API di Roku potrebbe aver consentito ad un attaccante di estrarre informazioni del device e di geolocalizzare gli utenti.
Insomma, di fatto anche lo streaming video degli OTT è uno strumento per tracciare le abitudini degli utenti, allo stesso modo in cui gli utenti stessi vengono monitorati tramite smartphone e pc online.
