Un nuovo progetto di ricerca chiamato Firehound sta scoperchiando un vaso di Pandora digitale esponendo come centinaia di applicazioni presenti sull’App Store espongano i dati sensibili di milioni di utenti.
L’iniziativa condotta dai laboratori di sicurezza CovertLabs ha identificato finora quasi duecento app iOS colpevoli di non proteggere adeguatamente le informazioni personali permettendo l’accesso a nomi ed email e persino alla cronologia delle chat private. Il caso più eclatante riguarda un’applicazione denominata “Chat & Ask AI” che da sola avrebbe compromesso oltre 400 milioni di record appartenenti a circa 18 milioni di persone ignare.
La maggior parte delle vulnerabilità segnalate su Firehound deriva da database non protetti o configurazioni cloud errate che lasciano le porte spalancate a chiunque sappia dove guardare. Sebbene il fenomeno tocchi diverse categorie come l’istruzione e la salute è innegabile che la maggioranza dei software incriminati appartenga al filone dell’intelligenza artificiale generativa.
Questa ondata di applicazioni create spesso in fretta per cavalcare l’hype del momento soffre di gravi lacune di sicurezza che trasformano strumenti apparentemente innocui in vere e proprie trappole per la privacy digitale.
Il rischio maggiore in questo scenario non riguarda soltanto la perdita di credenziali ma la natura intima delle conversazioni date in pasto ai chatbot. Molti utenti trattano l’intelligenza artificiale come un confidente o uno psicologo a cui rivelare problemi di salute o dubbi sentimentali e richieste potenzialmente imbarazzanti. Quando questi log finiscono in chiaro su server non protetti chiunque può ricostruire il profilo psicologico della vittima o utilizzare segreti inconfessabili per tentativi di estorsione e furto d’identità o semplice bullismo digitale.
Consegnare i propri pensieri più nascosti a un’app sconosciuta significa affidare la propria reputazione a sviluppatori che spesso ignorano le basi della crittografia.
Per limitare i danni il portale Firehound limita l’accesso ai dati grezzi richiedendo una registrazione specifica che viene concessa principalmente a giornalisti e ricercatori di sicurezza accreditati. I risultati delle scansioni vengono oscurati per proteggere le vittime ma l’esistenza stessa di questo archivio serve da severo monito per l’intero settore tecnologico.
Gli utenti devono prestare la massima attenzione a quali servizi affidano i propri pensieri mentre gli sviluppatori devono assumersi la responsabilità di blindare i propri codici indipendentemente dalla facilità con cui oggi è possibile pubblicare un software sugli store.
