Gli assistenti vocali, utilizzati soprattutto per avviare chiamate, spedire messaggi ed email o effettuare ricerche su Internet, potrebbero essere usati anche per scopi malevoli: per trasmettere messaggi 'segreti’ non rilevabili dalla semplice analisi del traffico di voce. A rivelarlo uno studio condotto dal ricercatore dell’Istituto sui sistemi intelligenti per l’automazione (Issia) del Cnr di Genova Luca Caviglione in collaborazione con Wojciech Mazurczyk della University of Technology di Varsavia, pubblicato su 'Ieee Computer Magazine’. “Chi diffonde malware è costantemente alla ricerca di nuovi canali in cui insidiarsi, puntando a sistemi di difficile rilevamento, per questo abbiamo orientato l’attenzione ai sistemi operativi oggi ritenuti tra i più sicuri”, racconta Caviglione.
L’esperimento dei due ricercatori ha riguardato in particolare 'Siri', l’assistente vocale gratuito di Apple, ma potrebbe essere applicato anche ad altri programmi analoghi. “Abbiamo dimostrato che è possibile generare un traffico speciale con l’obiettivo di trasmettere un messaggio nascosto. Questa tecnica, detta 'steganografia’, consiste nel celare dietro un’azione apparentemente normale - in questo caso la dettatura di un messaggio - un 'codice’ che solo un destinatario preciso sa interpretare”.
Ogni volta che interagiamo con un assistente vocale, la nostra voce viene impacchettata e spedita via Internet ai server della casa madre, dove in pochi istanti il comando vocale viene elaborato, rispedito indietro e quindi reso disponibile in forma testuale al telefono o al tablet. “Su un telefono compromesso, qualcuno potrebbe però utilizzare 'subdolamente’ il programma: se, ad esempio, decidesse di parlare appositamente con tante pause per produrre tanti 'vuoti’ nel traffico necessario per il riconoscimento vocale e qualcun altro riuscisse a intercettarlo e sapesse come interpretare quei 'vuoti’, ecco che il messaggio ne conterrebbe un altro”, spiega il ricercatore. “O ancora, sequenze prestabilite potrebbero essere generate da una voce sintetica e essere utilizzate per trasmettere dati sensibili presenti sul telefono, come dati bancari o password”.
Sebbene si tratti di possibilità ancora remote perché complesse da attuare, è opportuno preprare adeguate contromisure. “Partendo dall’analisi statistica del traffico di voce, potrebbero essere attivate strategie di difesa ogni qual volta il sistema rilevi particolari anomalie, come un numero di accessi troppo elevato o un traffico vocale che si discosta da quello di un parlatore medio. I 'pacchetti’ contenenti voce o silenzio, poi, potrebbero essere resi meno riconoscibili, disincentivando così questo tipo di tecnica”, conclude Caviglione.
Fonte: Luca Caviglione, Istituto di studi sui sistemi intelligenti per l'automazione, Genova
