Onde cerebrali, la nuova frontiera dell'hackeraggio

Uno studio dell'Università dell'Alabama ha dimostrato che i dispositivi Epoc+ dotati di elettrodi sono in grado di estrapolare codici PIN, password e altre informazioni personali degli utenti online attraverso l'uso dell'elettroencefalografia

Emotiv
17 Maggio Mag 2017 1515 17 maggio 2017 17 Maggio 2017 - 15:15
Tendenze Online

I big della Silicon Valley sono stati molto chiari sul futuro prossimo della tecnologia digitale: i nostri pensieri saranno in costante connessione con i dispositivi elettronici, in una sorta di fusione uomo-macchina di cui i fratelli Wachowski – quelli di “Matrix” - avranno di che scrivere. Mark Zuckerberg (Facebook Inc.), ad esempio, intende sviluppare un sistema in grado di scrivere 100 parole al minuto, semplicemente monitorando il cervello, mentre Elon Musk (Tesla Inc., Space Exploration Technologies Corp.), ha recentemente dato vita a Neuralink, la startup in grado di impiantare degli elettrodi nella materia grigia per caricare o scaricare, virtualmente parlando, tutto ciò che vi passa per la testa.

Sulla scia di questo nuovo trend, i produttori di high-tech stanno dando del loro meglio nell’oggettistica digitale, tra cui si trova Epoc+. Prodotto dall’Emotiv, si tratta di un paio di cuffie in grado di registrare le onde celebrali, quindi gli stati emotivi come frustrazione o eccitazione, e controllare i robot attraverso la mente. Un gioiello, di questi tempi, del valore di 800 dollari al pezzo. Sebbene il prodotto sia già utilizzato in “buona fede” in ambito medico – ad esempio per il controllo dell’epilessia, il trattamento della sindrome da deficit d’attenzione e iperattività o in casi di commozione cerebrale – e nel gaming, uno studio dell’Università dell’Alabama realizzato a Birmingham, ha mostrato come Epoc+ possa essere utilizzato anche per aiutare i software a trovare i codici PIN e le password attraverso il monitoraggio delle onde celebrali. La ricerca mostra un sempre crescente problema di sicurezza dell’interfaccia cerebrale, nonostante il numero di questo genere di dispositivi sia ancora limitato. Nitesh Saxena, professore associato dell’Università, sostiene che le cuffie in questione rappresentino un rischio reale per la privacy degli utenti e che «con lo sviluppo di questi dispositivi, si potrebbe fare molto di più in futuro». Si riferisce in particolare al furto dei dati personali tramite l’uso di interfacce cerebrali sempre più sofisticate, come quelle proposte dai mentori della Silicon Valley.

Quando ci si mette in pausa da un gioco virtuale o si effettua il login per accedere al proprio conto in banca, con le cuffie ancora su, il dispositivo potrebbe essere a rischio hackeraggio da parte di malware, che riuscirebbero a spiare le credenziali personali attraverso le onde cerebrali

Ma Epoc+ è solo uno dei tanti dispositivi sul mercato che utilizza delle cuffie dotate di elettrodi per registrare le variazioni di tensione cerebrale nello strato più esterno del cervello. Un approccio meglio conosciuto come elettroencefalografia (EEG). I segnali che ne derivano non vengono usati semplicemente per decifrare ciò che una persona pensa o fa, e il controllo che possono garantire è piuttosto elementare. Ma gli esperimenti dell’Università hanno dimostrato che le cuffie dell'Emotiv riescono in ogni caso a recuperare informazioni private. Ad esempio, quando ci si mette in pausa da un gioco virtuale o si effettua il login per accedere al proprio conto in banca, con le cuffie ancora "mode on", il dispositivo potrebbe essere a rischio hackeraggio da parte di malware, che riuscirebbero a spiare le credenziali degli utenti proprio attraverso le onde cerebrali. Questo perché gli stessi utenti utilizzerebbero PIN e password mentre indossano le cuffie, consentendo così ai software di registrare il collegamento tra la battitura sulla tastiera e le onde cerebrali.

Saxena sostiene che questo passaggio potrebbe essere raggiunto anche nei giochi virtuali, richiedendo ad esempio agli utenti di inserire un testo o dei codici come parte del gioco. Dopo aver osservato una persona inserire circa 200 caratteri, gli algoritmi imparano a individuare i nuovi caratteri che la stessa persona inserisce soltanto osservando i dati riportati dall’elettroencefalografia. Ciò potrebbe portare un gioco “infetto” a spiare qualcuno mentre si prende una pausa per navigare sul web. Si tratta anche in questo caso di un’operazione ben lontana dalla perfezione, ma di certo c’è che le probabilità di indovinare un PIN composto da quattro cifre sono diminuite da una su 10.000 a una su 20. Allo stesso modo, le chance di trovare una password di sei caratteri sono scese da una su 500.000 volte circa a una su 500.

Un portavoce di Emotiv sostiene che un attacco del genere sia impraticabile, perché una persona si insospettirebbe se un programma provasse a condurlo nel suddetto "gioco", ed è la stessa azienda inoltre che si occupa di approvare tutti i software che si connettono al suo dispositivo.

Ma Alejandro Hernández, ricercatore che si occupa di sicurezza per IOActive, analizzando proprio l’approccio dell’elettroencefalografia e i software ad esso connessi, ha potuto constatare che l’attacco ricreato dall’Università dell’Alabama è stato «fattibile al 100%». La sua ricerca dimostra che molti software EEG in uso oggi sono ben disegnati e facilmente hackerabili. A ciò si aggiunge uno studio dell’Università di Washington che ha dimostrato un altro modo per estrapolare le informazioni private attraverso dispositivi dotati di elettrodi. In sintesi, sono stati creati dei giochi che mostrano in maniera subliminale delle immagini come i loghi delle banche e hanno annotato il momento in cui il cervello di una persona ne ha registrato il riconoscimento. Ciò potrebbe consegnare nelle mani degli hacker dei dati validi per campagne di phishing o pubblicità. Il gruppo di Washington sostiene che una delle motivazioni alla base della ricerca è la volontà delle imprese di raccogliere diversi dati sull’uso del web da parte degli utenti, anche attraverso gli smartphone, in modo da "dirigere" le pubblicità. Anche senza l’accesso ai dati del cervello, infatti, le imprese stanno già cercando delle idee che facciano presa sui consumatori online, attraverso l'analisi dei loro stati emotivi. Gli stessi documenti rilasciati all’Australian Newspaper mostrano che Facebook ha preso in considerazione la possibilità di puntare ai teenager per le pubblicità sulla base delle loro emozioni.

I ricercatori di Washington si dicono preoccupati perché gli interessi delle imprese nel machine learning crescono ogni giorno di più. E maggiore sarà lo sviluppo dei dispositivi che si rifanno all'elettroencefalografia, maggiore sarà la capacità di estrapolazione di PIN, password e altri dati personali.

Potrebbe interessarti anche