sábado, abril 21, 2018

¿Nos escuchan por los micrófonos Google, Facebook, Apple y Microsoft? Claro que sí. Parte I

Hace unos días ha aparecido por Internet un vídeo que se ha convertido en viral, donde una persona hace una prueba que intenta demostrar cómo algunas empresas (supuestamente) nos vigilan desde Internet. En dicho video, este usuario pone el foco en concreto en Google y si nos escucha a través del ordenador, aunque no tengamos activado el asistente de audio (el icono en forma de micrófono que aparece a la derecha de la barra del buscador Google) o su asistente Google Home.

Figura 1: ¿Nos escuchan por los micrófonos Google, Facebook, Apple y Microsoft? Claro que sí.

Para ello muestra en pantalla un tema (en este caso juguetes para perros) y comprueba en varias páginas que los anuncios de AdSense  no aparece nada relacionado con lo que ha mostrado en pantalla. En mitad del video pronuncia en voz alta el tema de los juguetes de perros, y de repente aparecen varios anuncios relacionados con este tema. Aquí podéis ver la prueba al completo:


Figura 2: is Google listening?

La verdad es que el mensaje que lanza el video es muy preocupante, pero le falta un poco de rigurosidad. No se muestran en ningún momento pruebas digamos más técnicas, como por ejemplo una aplicación que sea capaz de analizar la información transmitida por el micrófono, un análisis de paquetes o cualquier otra que demuestre realmente que dicha escucha se ha realizado sin consentimiento del usuario.

Es posible que incluso esta persona hiciera dicha búsqueda en otro dispositivo (por ejemplo, un smartphone) utilizando su cuenta de Google y por lo tanto se replicara en todos los dispositivos asociados a él. De todas formas, al menos reabre un viejo debate que comenzó con el uso no autorizado de las cámaras web (webcams) y que ahora también se traslada al micrófono (aunque realmente siempre ha estado ahí, al ser este un dispositivo integrado también en las cámaras web). Y ya tuvimos un escándalo similar con las SmartTVs de Samsung que estuvieron en el ojo del huracán por ser demasiado explícitos en sus Terms & Conditions.

El tema de las escuchas por parte de estas empresas para luego ofrecerte anuncios a medida no es algo nuevo, y debido a los Cognitive Services para el Procesamiento Natural del Lenguaje de las plataformas de Artificial Intelligence de los grandes proveedores de Cloud, es algo más que posible en el mundo en el que estamos.

Figura 3: Ads, Ads, Ads

En la red hay muchas personas que corroboran este hecho, pero ninguna tiene una prueba sólida. Es más, el beneficio que puede obtener una empresa realizando este tipo de escucha y proyectando los resultados sólo para dirigir publicidad no son rentables comparados a una posible denuncia y mala imagen en caso de ser ciertas. Más bien podría ser un efecto de una teoría donde se afirma que las personas podrían estar afectadas por el fenómeno Baader-Meinhof. Pero este tipo de vídeos siguen apareciendo una y otra vez.

Hace sólo unos meses, otro usuario realizó una prueba parecida, esta vez desde un smartphone y utilizando la app de Facebook. En el siguiente vídeo podéis verla, pero de nuevo, tenemos que confiar en la palabra del usuario ya que no existen pruebas fiables:


Figura 4: is Facebook listening?


Esto no quiere decir que estas compañías las cuales ofrecen asistentes digitales como Cortana, Google Home, Alexa o Siri (Microsoft, Google, Amazon y Apple respectivamente) no graben lo que decimos y almacenen las conversaciones en sus servidores. De hecho, esto necesario para luego procesar y analizar las peticiones realizadas. En muchas empresas, los servicios de Siri fueron cortados para evitar los datos a los servidores de Apple, ya que los servicios de Procesamiento Natural del Lenguaje se produce en sus servidores.

Figura 5: Todo el NPL se produce en backend con Siri

Eso sí, sólo deberían funcionar cuando el usuario quiera activarlos, tanto desde la pantalla usando el icono de un micrófono (como es el caso de Google) o desde voz indicando alguna frase de activación como “Ok Google” o el famoso "Oye Siri" y luego se debería de borrar la información pasado un corto periodo de tiempo. Hay que destacar que el micrófono tiene que estar activado en el dispositivo todo el tiempo para poder registrar estas órdenes de activación o “despertar”, pero según ellos, esta información llamémosla “ambiental” no se procesa ni se envía, como veremos más adelante. En SeguridadApple puedes encontrar este artículo donde se habla sobre qué ocurre con esta información, en este caso Siri de Apple.

Figura 6: Proceso de activación de Siri y envío de información

Es muy difícil, por no decir imposible, saber exactamente qué información envían estos dispositivos a sus servidores centrales. Sólo podemos realizar algún tipo de suposición basándonos en algunos análisis superficiales de los paquetes enviados. Por ejemplo, en el caso de Amazon y su Amazon Echo, este utiliza cifrado TLS1.2 con validación/pinning de certificado, haciendo muy complicado realizar un ataque man-in-the-middle.

Toda la información digamos “sensible” se envía totalmente cifrada, lo que es un arma de doble filo porque por un lado es lógico para que en caso de interceptar tu red nadie pueda ver la información, pero por otro lado no sabemos qué información se está enviando.

Figura 7: Proceso de activación de Alexa (Amazon Echo) y envío de información

En el siguiente análisis de este mismo dispositivo de Amazon (con su asistente Alexa), se demuestra al menos que durante los periodos de silencio no se envía ninguna información al exterior. Para probarlo se ha monitorizado la ejecución de la siguiente secuencia de órdenes:
1. 8 segundos de silencio (sonido ambiental) 
2. Pregunta “Alexa, ¿qué hora es?” y respuesta en 6 segundos 
3. 8 segundos de silencio 
4. Pregunta “Alexa, té earl gray, caliente” y respuesta en 5 segundos 
5. 23 segundos de una conversación normal entre dos personas (evitando palabras que pudieran activar Alexa)
En la gráfica siguiente se puede comprobar que durante los periodos de sonido ambiental o de conversación sin interacción con Alexa, no se recopilan datos al menos por la red. Tampoco sabemos realmente si existe algún tipo de grabación interno en el dispositivo desde el cual se almacena primero la información y luego se envía cifrada u oculta con esteganografía (este sería otro punto que analizar, pero el código de estos dispositivos no es OpenSource):

Figura 8: Gráfica con los resultados de la prueba con Alexa

En este otro análisis muy parecido pero esta vez con Google Home se llega a la misma conclusión. Estas son las pruebas realizadas:
• 0-40 segundos, el equipo se reinicia 
• 320 segundos, “Ok Google. What´s the weather? más respuesta 
• 400 segundos, el micrófono se desactiva desde el dispositivo

• 400 – 500 segundos. Se intenta despertar el dispositivo con “Ok Google”
 
• 500 se vuelve a activar el micrófono 
• 550 segundos, “Ok Google, ¿lloverá mañana?” más respuesta 
• 650 segundos, “Ok Google…” comando de activación sin respuesta 
• 800 segundos, “Ok Google, pon algo de música” y se ejecuta Spotify 
• 850 segundos, “Ok Google. Es suficiente” y Spotify se detiene
Aquí podemos ver la gráfica obtenida donde observamos que durante los periodos de silencio no se envía ninguna información:

Figura 9: Gráfica de los resultados de la prueba con Google Home

Pero claro, estos análisis hablan de asistentes digitales que necesitan del micrófono para poder interactuar con el usuario. ¿Más preocupado? ¿Más tranquilo? No te preocupes, en la siguiente parte tendrás más para pensar sobre este asunto.

Autor: Fran Ramiíez, (@cyberhadesblog) miembro del equipo de Crazy Ideas en CDO en Telefónica, autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", y del blog Cyberhades.

10 comentarios:

Unknown dijo...

Pues estas cosas hay que solucionarlas que ya está bien ehhh..con la mierda de no tener privacidad..me cago en to!

Jose Felipe Olivera Muñoz dijo...

Me gusta que saques a la luz estos temas (a los que no sabemos nos viene muy bien).
Saludos.

Josep dijo...

Para Google, consultar el dashboard, ir a la actividad de micrófono y/o voz, y si no la tenéis suspendida, podréis ver todos los cortes de voz que almacena Google en vuestra cuenta.
Además en algunos casos podéis comprobar que incluso aplica reconocimiento de voz, transcribiendo a texto.

Ya veréis si os encontráis conversaciones grabadas.

Unknown dijo...

Y Aura de Telefonica que datos recopilara de los usuarios? para lograr esto "AURA también podrá hacerles recomendaciones sobre la oferta de productos y servicios que mejor se adapten a sus necesidades, los contenidos que se adapten a sus gustos"
https://www.telefonica.com/es/web/sala-de-prensa/-/telefonica-presenta-aura-un-nuevo-modelo-de-relacion-con-sus-clientes-basado-en-inteligencia-cognitiva-pionero-en-el-sector

Néstor dijo...

Google (o por lo menos el asistente) sí escucha y envía información, aún en sonido ambiente.

Varias veces me ha pasado en mi tableta o en mi móvil, que de un momento a otro el asistente se ejecuta a la espera del algún comando y lo único que está "sonando" es el televisor y a un volumen moderado.

En otras, misma situación (sonido ambiente, solo el televisor) se activa el asistente y al poco tiempo dice no reconocer el comando de voz.

En otras, sonido ambiente SIN SONIDO DE TELEVISOR O CONVERSACIÓN (aún de la calle) se activa y pasan algunas de las 2 situaciones anteriores.

hbt dijo...

así es la cosa. Difícil de demostrar, pero fácil de imaginar. Teniendo en cuenta Fran que tal y como indicas el Procesamiento de lo que se escucha se realiza en servidores externos, es decir SaS (software as service), la realidad es que probablemente nunca lo sabremos.
El micrófono mas seguro es el que no existe. (igual que con la cámara man). Pero ahora -y no es broma- ¡¡¡hasta las paredes escuchan!!! ... y la nevera... ¡¡¿tiene wifi?!!

Saludos!!

Alain Vega Labrada dijo...
Este comentario ha sido eliminado por el autor.
Alain Vega Labrada dijo...

Google en lo particular no le basta con sacarte toda la info que pueda sino que ademas te la muestra en tu dashboard :). En lo particular me dio mucha risa ver como se muestra el % de batería de los dispositivos registrados así como si lo mismos están conectados al cargador o no. Y los timeline son un claro caso de seguimiento. Tanto que se hablo y temio del RFDI y llevamos un celular que transmite datos inimaginables a grandes bases de datos. La diferencia entre google y el resto es que al menos google muesta algo de lo que saca de ti.

mati.dash dijo...

Buenas Chema, hace unos años 5, me paso algo muy similar, o bien llegue a la misma deduccion de forma inductiva. trabaja para Telefonica pero en Help Desk por Telefono y Remoto, era joven unos 20 años aprox (creo, aun lo soy...!?), charlaba con mis colegas sobre pedir un prestamo, no tenia conocimiento sobre el tema y nunca habia realizado una busqueda en google sobre eso. Y de repende zas... me aparecen Ads en la pantalla de busqueda sobre prestamos financieros... Creo que esto es bastante viejo de lo que pensamos! A tapar los microfonos ahora....!

Anónimo dijo...

WTF!!!! entonces no es un puto mito !!! teniando microfonos nos pueden espiar pueden hacer lo que quieran ellos

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares