Neon, l'applicazione diventata virale perché prometteva di monetizzare le chiamate telefoniche degli utenti vendendone le registrazioni alle aziende di intelligenza artificiale, ha vissuto una parabola da record, passando dall'essere un fenomeno virale con 75.000 download in un solo giorno, a un caso di studio sulla vulnerabilità dei dati personali nell'era dell'AI.
L'idea alla base di Neon appariva seducente nella sua semplicità: registrare automaticamente le proprie telefonate e ricevere un compenso per ogni conversazione, contribuendo all'addestramento di modelli di intelligenza artificiale. In una settimana, l'app aveva scalato la classifica delle applicazioni gratuite più scaricate su iPhone, conquistando migliaia di utenti attratti dalla prospettiva di guadagnare denaro semplicemente parlando al telefono.
Tuttavia, dietro questa facciata di innovazione si nascondeva una falla di sicurezza così elementare da risultare sconcertante. I server dell'applicazione non implementavano alcun controllo per impedire agli utenti di accedere ai dati altrui, trasformando ogni chiamata registrata in un contenuto potenzialmente accessibile a chiunque sapesse dove cercare.
Anatomia di una vulnerabilità
La scoperta della vulnerabilità è avvenuta durante dei test di routine utilizzando strumenti di analisi del traffico di rete. Creando un account utente e analizzando le comunicazioni tra l'app e i suoi server, i ricercatori hanno identificato come il sistema gestisse le registrazioni delle chiamate. Quello che inizialmente doveva essere un semplice test funzionale si è trasformato in una rivelazione inquietante: l'architettura backend consentiva l'accesso indiscriminato ai dati di tutti gli utenti.
La falla non si limitava alle sole registrazioni audio. I server esponevano anche le trascrizioni complete delle conversazioni, i metadati delle chiamate inclusi i numeri di telefono di entrambi gli interlocutori, la durata delle chiamate e i compensi generati. Ogni elemento che costituisce l'ecosistema digitale di una conversazione privata era accessibile attraverso semplici manipolazioni delle richieste al server.
L'analisi di alcuni file audio e trascrizioni ha rivelato un ulteriore aspetto problematico: diversi utenti sembravano utilizzare l'app per registrare conversazioni segrete con persone ignare, motivati dalla possibilità di monetizzare questi contenuti. Una pratica che solleva questioni etiche e legali significative, considerando che solo l'utente dell'app veniva registrato, non necessariamente con il consenso dell'altro interlocutore.
La reazione del fondatore
Alex Kiam, fondatore di Neon, ha reagito prontamente alla segnalazione della vulnerabilità decidendo di sospendere immediatamente i server dell'applicazione. La sua comunicazione agli utenti, tuttavia, ha adottato un approccio diplomatico che ometteva deliberatamente i dettagli più compromettenti della situazione. L'email inviata ai clienti parlava genericamente di "ulteriori livelli di sicurezza" da implementare durante un periodo di "crescita rapida", senza mai menzionare l'esistenza della falla di sicurezza o l'esposizione effettiva dei dati personali.
Questa gestione della comunicazione di crisi evidenzia un pattern comune nel settore tecnologico, dove le aziende tendono a minimizzare pubblicamente l'entità delle vulnerabilità scoperte nei loro sistemi. Kiam non ha fornito dettagli su eventuali revisioni di sicurezza condotte prima del lancio dell'app, né ha chiarito se l'azienda disponga di sistemi di logging sufficienti per determinare in quanti abbiano scoperto e sfruttato la vulnerabilità.
Il caso Neon si inserisce in un contesto più ampio di problematiche di sicurezza che affliggono regolarmente gli app store. Recentemente, applicazioni popolari come Tea, un'app di dating, hanno subito violazioni che hanno esposto documenti di identità degli utenti, mentre app consolidate come Bumble e Hinge sono state sorprese a rivelare la posizione geografica dei loro utilizzatori. Questa frequenza di incidenti solleva interrogativi sull'efficacia dei processi di revisione implementati da Apple e Google per le loro piattaforme.