Senza alcun preavviso, Google ha introdotto negli smartphone Android una funzione chiamata ‘Android System SafetyCore’, con un aggiornamento silenzioso senza il consenso degli utenti. La funzione viene descritta da Google come ‘system service that provides safety features for Android devices’, ma in verità non ha nulla a che fare con la sicurezza del sistema Android.

SafetyCore è invece un motore di machine learning a supporto per delle nuove funzioni “anti-spam” di Google, come quelle usate da Google Messages, l’app di preinstallata sui sistemi android commerciali per la gestione dei messaggi.

Grazie al SafetyCore l’app Google Messages può individuare contenuti come potenziali truffe, malware o perfino nudità per bloccarli o — nel caso dei nudi — introdurre una funzione di sfocatura con consenso per visualizzare l’immagine non censurata.

I contenuti sono analizzati localmente dal motore di machine learning — cioè sulla memoria dello smartphone — senza condivisione di dati a terzi. In teoria, i messaggi su Google Messages usufruiscono di crittografia end-to-end, a patto che gli utenti abbiano la funzione RCS (Rich Communication Services) attivata e stiano messaggiando con altri utenti Android con un sistema sufficientemente aggiornato.

In questi casi, Google non può accedere ai contenuti dei messaggi, quindi anche la scansione in locale effettuata dal SafetyCore non aggiunge rischi di sorveglianza da remoto. Tuttavia, rimangono alcuni casi in cui i messaggi non sono cifrati e i contenuti possono quindi essere accessibili da terzi.

In ogni caso, la nuova funzione SafetyCore solleva alcuni problemi rilevanti.

Mancanza di consenso e di trasparenza

Il primo problema è relativo al modo in cui Google ha rilasciato SafetyCore.

La funzione, come spesso accade per gli aggiornamenti legati a Google Play, è installata sullo smartphone dell’utente senza alcun consenso, e senza alcuna notifica. La maggior parte delle persone ha oggi questa app installata sui suoi dispositivi, senza saperlo.

Google ha dimostrato di poter modificare a piacimento il sistema operativo di miliardi di dispositivi, senza chiedere il permesso a nessuno. E questa volta, lo ha fatto introducendo un motore di scansione dei contenuti che gli utenti non possono controllare e su cui sono disponibili pochissime informazioni.

Da quel che traspare, SafetyCore è a un passo dall’essere un pericoloso spyware: il rischio è mitigato — per ora — dal solo fatto che Google dichiara che il servizio non comunica i risultati della scansione a nessuno.

È però doveroso sottolineare che non solo SafetyCore è installato senza consenso e senza alcun avvertimento, ma mancano anche le informazioni di base per comprenderne il funzionamento. Il motore di machine learning è closed source e non è possibile analizzarne il funzionamento.

In ogni caso, non c’è alcuna garanzia che un servizio di scansione del genere non possa evolvere in futuro, introducendo servizi di comunicazione di dati a terzi, senza informare gli utenti in modo adeguato.

L’evoluzione politica anti-crittografia

Il secondo punto riguarda l’evoluzione politica occidentale, che da qualche anno sta virando verso posizioni sempre più antagoniste nei confronti della crittografia usata nelle comunicazioni e nelle transazioni finanziarie.

La lotta alla crittografia segue sempre lo stesso copione: si invoca la necessità di combattere terrorismo, crimine organizzato e pedofilia per giustificare leggi come l’Online Safety Bill, l’EARN IT Act o il regolamento europeo Chatcontrol.

Molto rilevante sul tema è un documento del Consiglio dell’Unione Europea del 2020, in cui si afferma che in assenza di ‘misure complementari’ la diffusione della crittografia end-to-end nelle comunicazioni renderà sempre più difficile identificare potenziali reati come quelli legati alla pedopornografia, poiché gli strumenti di rilevamento attualmente disponibili non funzionano sulle comunicazioni cifrate end-to-end.

Nel 2020 la disponibilità di strumenti evoluti d’intelligenza artificiale in grado di girare su smartphone e dispositivi di livello consumer era molto limitata. Oggi, a distanza di 5 anni, la situazione è drasticamente cambiata. La maggior parte dei nuovi smartphone sono dotati di Neural Processing Units (NPU) che accompagnano le classiche CPU per potenziare i processi computazionali d’intelligenza artificiale.

Il SafetyCore di Google s’introduce quindi in un contesto politico, normativo e tecnologico che ci porta sull’orlo di un nuovo tipo di sorveglianza di massa: quella fatta tramite machine learning direttamente sui nostri dispositivi — prima ancora che i contenuti siano cifrati.

Leggi come quelle menzionate prevedono espressamente l’obbligo, per le aziende tecnologiche che erogano servizi di comunicazione e social network, di adottare strumenti di sistemi di scansione automatizzata per individuare materiale illegale.

Come anticipato già nel 2020 dal Consiglio dell’Unione Europea, la crittografia end-to-end rende impossibile scansionare le comunicazioni in transito. Per questo, il panorama tecnologico ha virato verso soluzioni come quella proposta da Google.

Non è neanche la prima volta che un colosso tech ci prova. Nel 2021, Apple tentò di introdurre NeuralHash, un sistema di scansione locale che aggirava la crittografia esaminando i contenuti direttamente sulla memoria del dispositivo, saltando a piè pari gli impedimenti della crittografia delle comunicazioni su iMessage. Le proteste furono tali da costringerla a fare marcia indietro.

Oggi NeuralHash non ha mai avuto un lancio ufficiale, ma l’algoritmo esiste ed è incluso in iOS 14.3 e successivi, pronto ad essere usato.

Una convergenza pericolosa

Entrambi i sistemi sembrano quindi strizzare timidamente l’occhio a queste posizioni anti-crittografia, come se volessero in qualche modo abituare i consumatori ad avere queste funzioni sui propri sistemi operativi, così da essere già pronti quando il legislatore chiederà di fare un passo in più.

Oggi viene dichiarato che SafetyCore non comunica dati a Google o a terzi. Ma per quanto ancora? Questo è esattamente il tipo di tecnologia che i legislatori stanno già considerando per implementare sistemi di sorveglianza di massa come quelli previsti dall’Online Safety Bill (già approvato in UK) e Chatcontrol. Sistemi che, in modo completamente automatizzato, segnaleranno contenuti ‘illegali’ presenti sui dispositivi delle persone alle autorità.

Se questa convergenza tra tecnologia e politica dovesse concretizzarsi, la crittografia end-to-end diventerebbe poco più di un’illusione. Per la maggior parte delle persone, la privacy digitale verrebbe svuotata dall’interno, lasciando solo un guscio vuoto di sicurezza apparente.

Capite quindi che non sono affatto tranquillo nel sapere che oggi SafetyCore non comunica dati a Google o terzi, considerando che è esattamente questo il motore che già oggi i legislatori stanno valutando per implementare misure di sorveglianza di massa che invece permetteranno di identificare e notificare contenuti ‘illegali’ alle autorità in modo automatizzato.

Se questa congiunzione tecnologica e politica dovesse avverarsi, la crittografia end-to-end sarebbe di fatto abolita per la maggior parte delle persone che usano strumenti di comunicazione e sistemi operativi mainstream.

Una possibile soluzione

Per ora il consiglio personale è disinstallare l’app SafetyCore, sapendo che probabilmente verrà reinstallata automaticamente ad ogni aggiornamento di Google Play, e che un giorno potrebbe diventare obbligatoria — evolvendo verso un vero e proprio sistema di sorveglianza sul dispositivo.

Per chi invece volesse fare un passo in più, consiglio di valutare l’adozione di un sistema operativo Android alternativo come GrapheneOS, CalyxOS o LineageOS — lasciando stare Apple.

Questi sistemi operativi garantiscono un livello molto più elevato di sicurezza e controllo rispetto alle versioni ‘stock’ di Android che si trovano preinstallate sugli smartphone. Tra questi, GrapheneOS è sicuramente il migliore, come verificabile anche da questa comparativa.

Sovranità individuale significa anche controllo sui propri dati e dispositivi. Permettere a Google o Apple di installare motori di scansione senza consenso è un passo verso una sorveglianza sempre più pervasiva e senza alcun tipo di protezione.

Rimani sul pezzo

Non perdere nessun aggiornamento sulla lotta globale contro privacy e crittografia. Leggi la sezione ‘Libertas Obscura’ di Cyber Hermetica per rimanere sul pezzo e conoscere l’impatto sulla tua privacy dell’evoluzione normativa e tecnologica.