Pepper, il robot dalla faccia buona, potrebbe farci del male

Sicuramente è carino, ma è anche un “colabrodo” dal punto di vista della sicurezza informatica. Il robot umanoide Pepper, creazione della francese Aldebaran Robotics e poi passato nelle mani giapponesi di Softbank (che nel 2012 ha acquisito la francese), si è meritato un impietoso il giudizio da parte di un gruppo informatici dell'Università Tecnica di Örebro, Svezia. Dopo aver analizzato le caratteristiche e il funzionamento di questo oggetto intelligente, i ricercatori Alberto Giaretta, Michele De Donno e Nicola Drgoni sono giunti alla conclusione che agire da remoto per trasformare Pepper in un'arma fisica o cibernetica è “questione di un soffio”.

Lo studio si basa su una considerazione di partenza: per un oggetto su cui transitano molti dati, connesso con il cloud e posizionato a stretto contatto con le persone (in ambienti pubblici, domestici o aziende), potersi definire sicuro, protetto da eventuali hackeraggi e manomissioni, non è certo una questione secondaria. E non è la prima volta che serpeggiano preoccupazioni riguardanti gli oggetti connessi, come per esempio gli smartwatch destinati ai bambini di diversi produttori cinesi.

Dietro gli occhioni di Pepper si nasconde un'intelligenza artificiale che permette a questo dispositivo alto un metro e venti centimetri di comportarsi come un “robot di compagnia” in ambienti domestici ma anche in luoghi come negozi, hotel, aeroporti (in Italia, lo scalo Marconi di Bologna ha recentemente accolto un “esemplare” nell'area del check-in, dove svolge servizio informazioni ai passeggeri) o aziende. I compiti e le abilità del dispositivo spaziano dall'assistenza agli anziani al customer service e dipendono chiaramente dai software installati, ma in generale Pepper è stato concepito per poter osservare l'ambiente circostante, scattare foto, recepire comandi vocali e comprendere le emozioni, distinguendo i toni di voce.

Lo studio pubblicato evidenzia problemi di diverso tipo e severità, relativi agli algoritmi crittografici impiegati da Softbank, alle interfacce di connettività, allo storage e al trasferimento dei dati e altro ancora. In particolare, è preoccupante il fatto che il dispositivo comunichi con una pagina Web realizzata in e Http e non in Https, così come il fatto che possa ricevere pacchetti di dati tramite protocollo Tcp praticamente da qualsiasi sorgente.

L'identikit di Pepper (dal sito di Softbank)

Diverse precedure e tentativi di hackeraggio eseguiti su un esemplare di Pepper hanno svelato “un preoccupante numero di gravi difetti di sicurezza, che mostrano come il produttore abbia sistematicamente ignorato qualsiasi verifica di sicurezza prima di commercializzare il prodotto”. Le vulnerabilità scoperte nel povero Pepper, sottolineano i ricercatori, permetterebbero a un malintezionato di intercettare credeziali utente, di rubare dati archiviati nella memoria interna, di hackerare altri dispositivi connessi con cui il robot interagisce, di spiare le persone registrando conversazioni e video di nascosto e, addirittura, di “fare del male fisico a esseri umani”. A dispetto dell'espressione bonaria.