En una dura carta enviada por Thomas Le Bonniec el 20 de mayo de 2020 (hace menos de un mes) a las autoridades de protección de datos en Europa (EU y EFTA), este advertía de la violación de privacidad de los ciudadanos europeos por parte de Apple. El asunto, como vamos a ver, es que los mensajes de Siri van a los servidores de Apple, y allí se procesan.... y algunas veces manualmente.
Figura 1: Apple sigue usando empresas externas para analizar las conversaciones recopiladas por Siri (un año después) |
Thomas había estado trabajando para Global Technical Services, una de las subcontratas de Apple en Irlanda. Su cometido era sencillo: Transcribir las conversaciones grabadas por Siri (en proyecto que se llamó internamente “Bulk Data”) con el objetivo de corregir y mejorar la interpretación de dichas ordenes obtenidas desde cualquier dispositivo Apple (iPhones, iPad, Apple Watch, etcétera). El problema que destaca en su carta es que Siri grababa más de la cuenta de forma accidental.
Figura 2: Carta enviada por Thomas Le Boniec |
A veces el usuario intenta hacer una petición, algo falla, pero no se da cuenta que Siri se ha activado y está lista para recibir información. Eso provoca que se recolecten conversaciones que no estaban pensadas inicialmente para ser utilizadas con Siri. Pero aún hay más, en estos estados de “activación no controlada” también se estaban grabando conversaciones de terceros, es decir, de niños, familiares, etcétera.
Es decir, de cualquier persona que estuviera en esos momentos cerca del dispositivo. De hecho, cuenta en la carta que llegó a escuchar cientos de conversaciones relacionadas con temas tan personales como enfermedades, pornografía, política, etcétera. Esto realmente grave de por sí, pero por lo menos esa información es anónima y no está relacionada con los usuarios … ¿o no?
En la carta habla de otro proyecto interno cuyo nombre era “Development data”. Y aquí es donde está lo realmente preocupante (aunque ya de por sí lo anterior, grabar conversaciones no autorizadas de manera “accidental” lo era de por sí), ya que el contexto de este equipo era etiquetar las palabras y asociarlas con los usuarios, es decir, una vez procesadas las conversaciones, estas se añadían al perfil personal de los mismos. El objetivo era obtener un dataset muy preciso de los usuarios para de esta forma optimizar el funcionamiento de Siri pero a su vez, utilizarlos en otros dispositivos Apple.
Figura 4: Configuración de Siri |
La preocupación por Siri ha sido grande en los últimos años, y hemos visto cómo se ha convertido en un problema para la privacidad de los usuarios en el dispositivo iPhone, donde ha sido parte de muchos trucos de Hacking en iOS para iPhone & iPad. Se ha usado para controlar tus cuentas de Facebook, para leer y enviar mensajes de e-mail en nombre del dueño del dispositivo, leer los mensajes de WhatsApp y hasta para robar las cuentas de correo Gmail o Hotmail usando Siri, como contaba en este vídeo Chema Alonso.
Figura 5: Robar una cuenta de Gmail o Hotmail con Siri
Pero lo más grave de todo, es que en agosto de 2019 ya fue denunciado este hecho, llegando Apple incluso a afirmar (hasta llegó a pedir perdón) que había puesto en pausa el uso de subcontratas externas para realizar este proceso de la información obtenida por Siri.
Una cosa es procesar internamente esta información (dentro del marco legal que la empresa ofrece a sus clientes) pero otra muy distinta es contratar a otras empresas para realizar esta función, ya que amplía el vector o las posibilidades de filtración de dichos datos recopilados.
Como vemos, parece que no ha cambiado mucho en menos de año después de la denuncia inicial que advertía de estas prácticas. Apple repitió varias veces que pondría solución a este problema y movería toda esta práctica a sus instalaciones y empleados internos, pero pesar de las presiones y la denuncia, como hemos visto al comienzo de este artículo, Apple sigue contratando empresas externas para realizar este cometido tan sensible.
Muchos medios como Forbes, The Guardian, etcétera, se están haciendo eco de esta noticia, ya que ha pasado casi un año desde la primera denuncia y parece que no ha habido ninguna reacción por parte de las autoridades europeas (este hecho lo denuncia el mismo Le Bonniec en el documento). Además, cierra la carta con una frase lapidaria
Figura 7: Libro de Hacking iOS: iPhone & iPad 2ª Edición |
Como vemos, parece que no ha cambiado mucho en menos de año después de la denuncia inicial que advertía de estas prácticas. Apple repitió varias veces que pondría solución a este problema y movería toda esta práctica a sus instalaciones y empleados internos, pero pesar de las presiones y la denuncia, como hemos visto al comienzo de este artículo, Apple sigue contratando empresas externas para realizar este cometido tan sensible.
Figura 8: Eliminar el Historial de Siri |
Muchos medios como Forbes, The Guardian, etcétera, se están haciendo eco de esta noticia, ya que ha pasado casi un año desde la primera denuncia y parece que no ha habido ninguna reacción por parte de las autoridades europeas (este hecho lo denuncia el mismo Le Bonniec en el documento). Además, cierra la carta con una frase lapidaria
“Estoy extremadamente preocupado ya que ellos están básicamente escuchando (“wiretapping”) a la población”.
En defensa de Apple, la versión 13.2 iOS permite al usuario eliminar las conversaciones obtenidas por Siri en cualquier dispositivo como se explica en este artículo de su web de soporte. Pero esto no es caso asilado que afecta únicamente a la empresa de la manzana. Otras grandes compañías como Amazon, Google o Facebook han reconocido realizar prácticas similares, y el historial está disponible. En este artículo, podéis ver cómo se localizan las grabaciones de voz que hace Google.
Figura 9: Accediendo a la lista de grabaciones desde Android |
Podemos asumir que a la hora de utilizar un asistente digital nos exponemos a una cierta exposición de la información que le transmitimos, pero es deber de la empresa mantener de forma anónima, pero, sobre todo, esta debe cumplir las regulaciones legales de la zona en la cual se encuentran sus clientes. Vamos a ver cómo acaba toda esta historia.
Autor:
Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.
Autor:
Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.
Figura 10: Contactar con Fran Ramírez en MyPublicInbox |
No hay comentarios:
Publicar un comentario