All’inizio sembrava la solita storia di tecnologia “smart” che semplifica la vita. Un robot aspirapolvere iLife A11, uno di quelli che promettono pavimenti puliti e tempo libero in più, un piccolo aiuto domestico dall’aria innocente. Ma per Harishankar, ingegnere informatico indiano, quell’oggetto quotidiano si è presto trasformato in un caso di studio inquietante sulla privacy digitale. Tutto è cominciato con una curiosità — o forse con un sospetto.
Un aspirapolvere smart si ribella: il lato oscuro dell’IoT
Durante una sera qualunque, Harishankar decide di monitorare il traffico dati del suo robot. Bastano pochi minuti per scoprire qualcosa di strano: il dispositivo stava inviando un flusso continuo di pacchetti ai server del produttore, senza che lui avesse mai dato il consenso. Non solo log o aggiornamenti occasionali, ma una trasmissione costante di dati di telemetria, come se il piccolo aiutante domestico stesse “raccontando” ogni suo movimento a qualcuno dall’altra parte del mondo.
Per vedere fin dove poteva arrivare, l’ingegnere blocca gli indirizzi IP dei server di telemetria, lasciando attivi solo quelli per gli aggiornamenti. Inizialmente, tutto sembra andare liscio. Poi, all’improvviso, il robot smette di accendersi. Parte così un assurdo ping-pong con l’assistenza: ogni volta che lo manda in riparazione, gli rispondono che funziona perfettamente. Ogni volta che torna a casa e lo riconnette alla sua rete, si blocca di nuovo.
Alla fine, stanco di tentativi a vuoto, Harishankar decide di aprirlo. Dentro scopre che il suo aspirapolvere non è solo un elettrodomestico, ma un vero computer in miniatura: un SoC AllWinner A33 con sistema operativo Linux (TinaLinux), un microcontrollore GD32F103 per sensori e persino un accesso ADB completamente aperto, senza password o crittografia. In pratica, chiunque con le giuste competenze avrebbe potuto entrarci dentro.
E non è tutto. L’iLife A11 utilizza Google Cartographer, una tecnologia avanzata per creare mappe 3D dell’ambiente domestico. Un dettaglio utile per la navigazione, certo, ma che significa anche una cosa: il robot costruisce e invia una mappa precisa della tua casa ai server del produttore. L’episodio più inquietante, però, arriva quando Harishankar trova nei log un comando di blocco remoto (“kill command”) che coincide esattamente con l’istante in cui il robot ha smesso di funzionare.
In altre parole, qualcuno — o qualcosa — ha deciso di spegnere il suo dispositivo da remoto. E solo dopo aver invertito manualmente quel comando, l’ingegnere è riuscito a farlo ripartire, completamente offline e sotto il suo controllo.
La storia finisce con una lezione preziosa: i dispositivi IoT che portiamo nelle nostre case non sono semplici gadget, ma occhi e orecchie digitali connessi a server lontani. Harishankar lo dice con una frase che vale più di mille avvertenze: “Tratta questi robot come estranei in casa tua”.
