Shazam tiene il microfono del vostro Mac sempre acceso

Un ricercatore ha scoperto un aspetto inquietante nella app di musica che usiamo tutti.
16.11.16
Immagine: BrAt82 / Shutterstock

Che canzone è questa? Da quando la app Shazam è arrivata sui nostri telefoni, il suo compito è stato rispondere a questa domanda in pochi secondi, come per magia. Il problema, è che sui computer Apple Shazam non spegne mai il microfono, anche se le chiedi espressamente di farlo.

Quando un utente di Shazam su Mac spegne la app, questa in realtà lascia il microfono acceso in sottofondo. Per il ricercatore esperto di sicurezza che ha scoperto la cosa, si tratta di un bug di cui le persone dovrebbero essere messe al corrente. Per Shazam, è solo un elemento di design che fa funzionare meglio il prodotto.

"Non ci sono problemi di privacy dato che l'audio non viene processato a meno che l'utente non attivi effettivamente la app." Ha scritto in una dichiarazione per mail James Pearson, il vicepresidente delle comunicazioni globali per Shazam. "Se il microfono non restasse acceso, la app impiegherebbe più tempo per inizializzare il microfono e poi processare l'audio, il che porterebbe a un'esperienza peggiore per gli utenti, che di sicuro non vogliono 'perdersi' la canzone che stanno tentando di riconoscere."

Patrick Wardle, un ex hacker dell'NSA che ora sviluppa strumenti di sicurezza gratuiti per Mac, ha trovato il problema grazie a OverSight, un software da lui stesso progettato, che avverte gli utenti quando una app vuole accedere alla webcam o al microfono. Dopo aver fatto uscire OverSight, Wardle ha ricevuto una mail da una persona che si è accorta che la app di sicurezza lo avvertiva del fatto che Shazam fosse ancora in ascolto, nonostante lui l'avesse spenta.

Incuriosito—e preoccupato che il suo software stesse lanciando falsi allarmi—Wardle ha sottoposto Shazam a un processo di reverse engineering per capire cosa stesse succedendo. Dopo qualche ora passata ad analizzare il codice, Wardle ha capito che sì, Shazam resta sempre in ascolto, come ha spiegato in un blog post pubblicato lunedì.

Per quanto la cosa suoni male, Wardle ha detto che, a suo avviso, non c'è "alcuna malizia". In altre parole, Shazam non ci spia, ma non è neanche chiara sul proprio funzionamento, e "gli utenti dovrebbero sapere," ha detto il ricercatore.

"Quando spengo qualcosa, 'spento' dovrebbe significare 'spento,'" ha detto Wardle a Motherboard. "È carino da parte loro smettere di processare i dati delle persone, ma stanno comunque registrando tutto."

Pearson ha confermato che la app lascia il microfono acceso tutto il tempo, ma non è d'accordo con Wardle: a suo avviso, "non c'è alcun bug," perché Shazam non salva o invia i campioni audio ma solo "i riassunti delle impronte digitali dell'audio."

Pearson ha dichiarato che il microfono viene lasciato acceso per "ragioni tecniche," ma che "l'audio non viene processato, quindi la decisione dell'utente di non sfruttare la funzionalità primaria della app in quel momento è pienamente rispettata."

Per queste ragioni, Pearson ha detto che Shazam non cambierà niente della app, dato che "non c'è motivo per farlo."

"Quando spengo qualcosa, 'spento' dovrebbe significare 'spento.'"

Studiando il comportamento della app, Wardle è stato in grado di confermare quanto detto da Pearson.

"Non ho trovato segni che mi facessero credere che questi dati registrati vengano processati (o salvati,)" ha scritto Wardle sul suo blog post, che ha condiviso in anticipo con Motherboard. "Ad ogni modo, resto diffidente nei confronti di una app che sembra non fare altro che prelevare audio dal microfono interno del mio computer."

Per Wardle è un problema perché un malware potrebbe infiltrarsi nella app e appoggiarsi alle sue caratteristiche per registrare di nascosto l'utente, senza far scattare un allarme. E Shazam potrebbe cambiare il modo in cui funziona la app, "come utenti, non potremmo fare altro che fidarci che non lo facciano," ha concluso.

Shazam tiene il vostro microfono sempre acceso: un elemento di design, o un bug? Sta a voi deciderlo. Per quel che vale, Wardle ha detto di aver cancellato la app.

AGGIORNAMENTO DEL 15/11/2016: Shazam ha cambiato idea, annunciando di voler intervenire sul problema in prospettiva della nuova versione della app per Mac.

"Pur non riscontrando un rischio significativo, l'azienda aggiornerà la app per Mac entro i prossimi giorni," ha fatto sapere Pearson.