Due giorni, fa, l’hacker Patrick Wardle ha pubblicato sul proprio blog Objective-See un post provocatoriamente intitolato “Dimenticare la NSA, è Shazam ad essere sempre in ascolto!”: spiega con dovizia di particolari come, attraverso un’operazione di reverse engineering sull’applicazione, abbia verificato come nella versione di Shazam per OS X il microfono rimanga sempre attivo, anche quando l’utente preme sul tasto “OFF” per disattivarla.

L’app, molto utilizzata tra gli utenti di qualsiasi piattaforma, a sette anni dalla sua comparsa ha mantenuto la peculiare funzione: basta premere un pulsante per identificare, in pochi istanti, il titolo di un brano in esecuzione nell’ambiente circostante. Secondo quanto riferito da Wardle, tutto è iniziato con un’email nella quale un utente di OverSight , l’app creata da Wardle allo scopo di allertare gli utenti Mac quando un’app tenta di utilizzare il microfono o la webcam di un MacBook, iMac, Mac mini o Mac Pro all’insaputa dell’utente, scrive: “Grazie a OverSight sono stato in grado di comprendere il motivo per cui il microfono mi spia in continuazione. Solo per farvi sapere, il widget di Shazam mantiene il microfono attivo anche quando l’interruttore viene posto sulla posizione su OFF all’interno dell’applicazione. Spaventoso.”. Wardle ha voluto verificare di persona e, dopo avere osservato che l’app OverSight segnalava la disattivazione del microfono, spegnendo l’app dall’apposito pulsante, ha deciso di operare un’azione di reverse engineering su Shazam per OS X per ottenere un’ulteriore conferma del comportamento dell’applicazione.

Dall’operazione, come ammesso dallo stesso ricercatore, emerge chiaramente come il microfono rimanga attivo , anche se non sono state rilevate tracce di attività per l’analisi, il salvataggio o il trasferimento dei campioni su server terzi . Tanto è comunque bastato a Wardle per disinstallare l’app e decidere di contattare il servizio di assistenza di Shazam per chiedere informazioni.

Nell’email di risposta, resa pubblica da Wardle, si legge come non si tratti di un bug quanto di una scelta deliberata degli sviluppatori , per una questione di prestazioni, al fine di rendere immediatamente pronta l’app quando l’utente la riattiva premendo su “ON”. Nel testo della riposta l’azienda riferisce anche che il problema sarà risolto con un prossimo aggiornamento.

Il Chief Product Officer di Shazam, Fabio Santini, intervistato da CNET ha sostanzialmente replicato quanto scritto nell’email di risposta, confermando la soluzione del problema nel giro di pochi giorni, con un aggiornamento. Santini ha inoltre chiarito come, nel caso un hacker entrasse in possesso dei dati acquisiti dal microfono, questi non sarebbe in grado di intercettare conversazioni personali: “Shazam cattura solo campioni in alcuni punti dell’onda sonora per creare un’impronta identificativa da utilizzare nel confronto con quelle presenti nel database musicale della società”, aggiungendo che “tali campioni non possono essere decodificati per ricostruire l’audio originale”.

Thomas Zaffino

Fonte immagini