iphone x

Apple e Privacy: i nuovo iPhone X potrebbe rubare i tuoi dati?

Delle tante nuove caratteristiche presenti in iOS 11 di Apple, il sistema operativo del nuovo  iPhone X lanciato qualche settimana fa, spicca uno strumento chiamato Core ML.

Offre agli sviluppatori un modo semplice per implementare algoritmi di apprendimento automatico preformati, in modo che le app possano personalizzare immediatamente le loro offerte in base alle preferenze di una persona specifica.

Con questo progresso arriva un sacco di novità positive, tuttavia, e alcuni ricercatori sulla sicurezza si preoccupano che Core ML potrebbe ottenere più informazioni di quante potreste aspettarvi.

Core ML potenzia i compiti come il riconoscimento di immagini e facciali, l’ elaborazione del linguaggio naturale e il rilevamento di oggetti, e supporta molti strumenti di apprendimento automatico come le reti neurali e gli alberi decisionali. E come per tutte le applicazioni iOS, anche quelle che utilizzano Core ML chiedono all’ utente il permesso di accedere a flussi di dati come il microfono o il calendario.

Ma i ricercatori osservano che Core ML potrebbe introdurre alcuni nuovi casi dove un’ applicazione che offre un servizio legittimo potrebbe anche tranquillamente utilizzare Core ML per trarre conclusioni su un utente per scopi ulteriori.

“Il problema chiave dell’ utilizzo di Core ML in un’ applicazione dal punto di vista della privacy è che rende il processo di screening dell’ App Store ancora più difficile che per le normali applicazioni non-ML”, afferma Suman Jana, ricercatore in materia di sicurezza e privacy presso la Columbia University, che studia l’ analisi e il controllo del framework di machine learning.

“La maggior parte dei modelli di apprendimento delle macchine non sono interpretabili dall’ uomo e sono difficili da testare per diversi casi d’ angolo. Ad esempio, è difficile dire durante lo screening di App Store se un modello Core ML può accidentalmente o di proposito perdere o rubare dati sensibili”.

La piattaforma Core ML offre algoritmi di apprendimento supervisionati, preformati per essere in grado di identificare, o “vedere”, alcune caratteristiche nei nuovi dati. Gli algoritmi di Core ML preparano gli algoritmi lavorando attraverso una tonnellata di esempi (di solito milioni di punti dati) per costruire un framework.

Ad esempio, potrebbe scorrere il flusso di foto e in realtà “guardare” le foto per trovare quelle che includono cani o tavole da surf o le immagini della tua patente di guida che hai preso tre anni fa per una domanda di lavoro. Può essere quasi tutto.

È difficile capire, durante lo screening di App Store, se un modello Core ML può accidentalmente o volentieri perdere o rubare dati sensibili “.

Per un esempio di dove questo potrebbe andare storto, cosa di un filtro fotografico o un’ applicazione di modifica che si potrebbe concedere l’ accesso ai tuoi album. Con questo accesso sicuro, un’ applicazione con cattive intenzioni potrebbe fornire il suo servizio dichiarato, utilizzando anche Core ML per verificare quali prodotti appaiono nelle tue foto, o quali attività ti sembrano godere, e poi continuare a utilizzare quelle informazioni per la pubblicità mirata.

Questo tipo di frode violerebbe le Linee guida Apple App Store Review Guidelines. Ma potrebbe essere necessaria un’ evoluzione prima che Apple e altre aziende possano esaminare completamente i modi in cui un’ applicazione intende utilizzare il machine learning. E l’ App Store di Apple, anche se generalmente sicuro, approva già occasionalmente per errore app dannose.

Gli aggressori che avevano il permesso di accedere alle foto di un utente avrebbero potuto trovare un modo per ordinarle in precedenza, ma gli strumenti di apprendimento automatico come Core ML o Google TensorFlow Mobile, invece di richiedere un laborioso ordinamento umano, potrebbero rendere i dati sensibili in superficie semplici e veloci.

A seconda di ciò a cui gli utenti concedono come accesso ad un’ applicazione, questo potrebbe rendere possibile qualsiasi tipo di comportamento scorretto per spammer e phisher. Più gli strumenti mobili di apprendimento macchina esistono per gli sviluppatori, più sfide di screening ci potrebbero essere sia per l’ App Store iOS e Google Play.

Core ML ha un sacco di funzionalità di privacy e sicurezza integrate. Fondamentalmente, la sua elaborazione dei dati avviene localmente sul dispositivo di un utente. In questo modo, se un’ applicazione fa emergere tendenze nascoste nella tua attività e i dati battiti cardiaci dallo strumento Salute di Apple, non è necessario proteggere tutte le informazioni private in transito verso un processore cloud e poi tornare al tuo dispositivo.

Questo approccio riduce anche la necessità di memorizzare i dati sensibili sui server delle app. È possibile utilizzare uno strumento di riconoscimento facciale, per esempio, che analizza le foto, o uno strumento di messaggistica che converte le cose che si scrivono in emojis, senza che i dati mai lasciare il vostro iPhone. L’ elaborazione locale va anche a vantaggio degli sviluppatori, perché significa che la loro applicazione funzionerà normalmente anche se un dispositivo perde l’ accesso a Internet.

Le app iOS stanno appena iniziando a incorporare Core ML, quindi le implicazioni pratiche dello strumento rimangono in gran parte sconosciute. Una nuova app chiamata Nude, lanciata venerdì, utilizza Core ML per promuovere la privacy degli utenti, scansionando i tuoi album per le foto nude e spostandoli automaticamente dal rotolo generale iOS Camera Roll a un vault digitale più sicuro sul tuo telefono. Un’ altra scansione di app per foto sexy potrebbe non essere così rispettosa.

I ricercatori osservano subito che mentre Core ML introduce importanti sfumature, in particolare nel processo di app-vetting, non rappresenta necessariamente una minaccia fondamentalmente nuova. “Suppongo che si possa abusare di CoreML, ma allo stato attuale le app possono già avere pieno accesso alle foto”, afferma Will Strafach, ricercatore di sicurezza iOS e presidente del Sudo Security Group. “Quindi, se volessero afferrare e caricare la vostra libreria completa di foto, ciò è già possibile se il permesso è stato concesso”.

Ogni nuova tecnologia presenta potenziali lati grigi, la domanda ora con Core ML è che cosa i malintenzionati potranno trovare, insieme con il buono.

 


Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *