Ci ascoltano. Ci guardano. Ci seguono dovunque andiamo. Gli smartphone hanno ormai moltissimi sensi, ma cosa succederebbe se li usassero contro di noi? Una ricerca dell’università di Newcastle, avviata lo scorso anno ma venuta solo nelle scorse ore alla ribalta su vari siti, tra cui la BBC, dimostra che il nutrito parco sensori dei nostri dispositivi può essere sfruttato a vantaggio di malintenzionati.
Il problema principale risiederebbe paradossalmente negli standard web utilizzati da tutti i browser mobili: le specifiche W3C consentono infatti a pagine web comprensive di codice JavaScript di accedere ai dati raccolti da accelerometro, giroscopio, bussola e altri (si parla di ben 25 componenti diversi), senza necessità di richiedere all’utente il consenso esplicito per il trasferimento delle informazioni. Abbinando questa raccolta a tecniche di machine learning per distinguere le varie azioni compiute dall’utente, è possibile risalire a svariati dati personali, incluse le password digitate e i PIN di accesso. La dottoressa Maryam Mehrnezhad, che ha fornito un contributo prevalente alla ricerca, afferma come sia stato possibile per il suo team ricavare al primo tentativo codici di sblocco schermo a 4 cifre per i dispositivi Android già nel 70% dei casi; il successo completo arriva invece entro i 5 tentativi. A proposito di blocco: queste attività di raccolta possono avvenire anche quando il dispositivo non è in uso, se si è lasciato aperto il browser in background.
Una situazione critica, che va affrontata direttamente dal W3C e dalle aziende di software: interpellate a riguardo, tanto nel 2016 quanto oggi non hanno fornito risposte convincenti sulla prossima risoluzione del problema, cui in generale non è mai stata data molta importanza. L’opinione prevalente, infatti, era che bastava ridurre per le soluzioni JavaScript la frequenza dei rilevamenti tramite sensori per prevenire scenari simili. La notizia incoraggiante è che i browser non hanno un comportamento uniforme tra loro e se si sta sui nomi principali (Chrome, Firefox, Opera, Safari) i rischi sono minori, per quanto purtroppo non inesistenti. Le maggiori grane si segnalano nell’uso di browser di provenienza orientale, come UC o Baidu. Il consiglio che viene dato agli utenti in attesa di una soluzione definitiva è quello di entrare nel task switcher del proprio dispositivo e rimuovere col gesto di scorrimento il browser dalle app attive una volta terminato il suo impiego.
AGGIORNAMENTO: 9to5Mac riporta che Apple ha già apportato correzioni lo scorso anno con iOS 9.3.