L’incubo che tutti sperano di non dover mai affrontare si è materializzato pochi giorni fa per Jane McGonigal, vittima di un hackeraggio del suo Google Pixel inviato alla compagnia di Mountain View per una riparazione. Un’operazione comune che avviene spesso, specialmente quando si tratta di smartphone prodotti da Google, i quali negli anni hanno mostrato più di una volta di presentare evidenti difetti. Il problema stavolta però non verge sul difetto dello smartphone inviato in riparazione, quanto sull’assurda vicenda che Jane McGonigal, autrice per il New York Times, ha raccontato su Twitter, essendo anche un personaggio pubblico con tanto di spunta di notifica accanto al nome sul social blu.

Lo scorso ottobre, McGonigal ha inviato il suo smartphone rotto ad un centro di riparazione ufficiale Google localizzato in Texas, USA: la prima sorpresa inaspettata è stata quella di ricevere una mail in cui veniva informata, direttamente dall’azienda, che il centro non ha mai ricevuto lo smartphone da lei inviato. Il pacco indirizzato al centro riparazioni è stato inviato tramite FedEx, con le informazioni di tracking che certificavano l’avvenuto arrivo del pacco a destinazione, nel centro riparazioni. Quindi, il pacco inviato da McGonigal contenente il suo Google Pixel 5A è misteriosamente “scomparso” nel centro riparazioni, nonostante il tracking dimostrasse l’avvenuta consegna.

Come spesso accade, l’utente si è messa l’animo in pace in attesa di ulteriori indagini da parte del vettore di trasporto e di Google: quando si perde un pacco è facile che le aziende provino a scaricare le proprie responsabilità, e il processo può andare avanti per settimane prima di una sua risoluzione. Il rimborso per il dispositivo perso è arrivato il 4 dicembre, ma qualche ora dopo Jane si è accorta che qualcosa non andava con il suo account Google: “Come è capitato ad altri, la notte scorsa qualcuno è entrato [usando lo smartphone inviato per la riparazione] nel mio gmail, Drive, account di backup delle foto, dropbox, e posso vedere dai log di attività che hanno aperto un po’ di selfies sperando di trovare foto di nudo. Le foto aperte erano di me in costume da bagno, in reggiseni sportivi, vestiti attillati, e dopo un intervento.”

C’è un problema di sicurezza con i Google Pixel?

Le attività sospette sono state correttamente segnalate tramite email di sicurezza su Gmail – e l’utente ha subito provato a recuperare la password Gmail –  che però i malintenzionati i quali hanno “hackerato” il Google Pixel di McGonigal hanno ben pensato di filtrare come spam: la vittima così non ha mai ricevuto notifiche riguardo le attività fraudolente che venivano perpetrate a sua insaputa. L’utente ha provato a resettare il suo dispositivo da remoto, ma questa procedura non è possibile se il dispositivo non viene acceso ed è connesso ad una rete Wi-Fi e GPS. Cambiando la password dei servizi Google utilizzando il telefono “perso” come dispositivo sicuro, i malintenzionati sono riusciti a compromettere anche l’email di recupero, silenziando così qualsiasi tipo di allarme. Solo tramite i log delle attività, che non sono stati cancellati, è possibile risalire alla cronologia degli atti perpetrati prima che Jane McGonigal si accorgesse che qualcosa non andava.

La risposta di Google non si è fatta attendere: dopo il polverone mediatico che il tweet ha generato, il portavoce Alex Moriconi ha dichiarato che l’aziendasta investigando sull’accaduto“. Molti sono gli aspetti poco chiari di questa vicenda, a cominciare dal momento esatto in cui il Google Pixel 5 è stato intercettato: è stato durante il trasporto con FedEx o quando il prodotto è arrivato al centro di riparazioni ufficiale di Google in Texas? Soltanto ulteriori indagini potranno fare chiarezza su una vicenda che, purtroppo, sembra non essere un caso isolato.

Dai colleghi di Android Police apprendiamo infatti di un post su reddit, ora eliminato, in cui veniva denunciato un caso molto simile a quello descritto da McGonigal. Il post, che riportiamo nell’immagine a seguire, è stato postato per la prima volta il 1° dicembre nel subreddit r/legaladvice, specializzato in consigli legali. Neanche a dirlo, anche in questo caso la vittima dell’hackeraggio è stata una donna: un mese prima ha inviato il suo Google Pixel per una procedura RMA, nello stesso centro riparazioni in Texas. Il telefono è stato usato per postare foto di nudo di lei e di suo marito sui propri account social media, in particolare Facebook e Instagram: immaginate lo shock nel sapere che amici, parenti  e figli hanno visualizzato foto così intime.

Con tutto ciò che i nostri smartphone conservano al proprio interno, una violazione della privacy come quella appena descritta è terrificante al solo pensiero. Specialmente se l’utente ripone totale fiducia nell’azienda a cui si affida, in questo caso Google: le indagini dovranno chiarire ancora molti punti oscuri su questa vicenda, in particolare se vi è un coinvolgimento da parte del vettore utilizzato per il trasporto (FedEx). Ma soltanto l’idea che qualcuno possa spiarci attraverso i nostri telefoni inviati in riparazione sa di puntata di Black Mirror, e distrugge il fondamentale rapporto di fiducia che gli utenti ripongono in un’azienda.

E non è soltanto Google ad essere colpevole, almeno finora: quest’anno il colosso americano Apple ha pagato un risarcimento milionario per una vicenda simile a quella appena descritta, con protagonista un iPhone inviato in riparazione e foto di nudo fatte circolare in rete dagli addetti al servizio.  Per il momento, l’unico per essere davvero sicuri di non incappare in problemi quando si invia un prodotto in riparazione è quello di resettare ai dati di fabbrica il dispositivo.

Potrebbe interessarti: Un documento svela che l’FBI può ottenere accesso a dati WhatsApp e iMessage