Amazon Alexa compartilha gravações de voz de usuários com milhares de “escutadores”

Amazon Alexa compartilha gravações de voz de usuários com milhares de “escutadores”. Uma investigação da Bloomberg revelou que a Amazon recrutou milhares de funcionários e contratados nos EUA, na Índia, na Costa Rica e na Romênia para ouvir os usuários do Amazon Alexa.

Como eles foram autorizados a fazer isso? A Amazon configurou as configurações padrão do Alexa para permitir o uso de gravações para melhorar seus dispositivos. Não há informações explícitas para os clientes do Alexa que os humanos estão ouvindo gravações, apesar da Amazon afirmar que isso é necessário para melhorar a qualidade das respostas obtidas pelos usuários do Alexa, a política de privacidade afirma apenas que: “Usamos seus pedidos para que a Alexa treine nossos sistemas de reconhecimento de fala e compreensão da linguagem natural”.

No dia 10 de abril, a Bloomberg notíciou que a Amazon emprega milhares de funcionários e contratados para ouvir e transcrever as gravações dos usuários do Alexa. Esta é uma falha da Amazon por várias razões exploradas em um relatório da Bloomberg.

A menos que você tenha tomado algumas medidas muito específicas, que usualmente o usuário não saberia que precisava tomar para impedir que as gravações de sua interação com o Alexa fossem acessadas, suas gravações podem muito bem estar entre aquelas ouvidas pelos funcionários da Amazon, compartilhadas em salas de bate-papo da empresa e transcrito por contratados na Romênia, Índia ou Costa Rica.

Ao contrário da Apple e do Google, que afirmam usar técnicas que protegem a privacidade do usuário, que não associam suas gravações a informações pessoalmente identificáveis, os funcionários da Amazon têm acesso ao número da conta, nome próprio do usuário e número de série do dispositivo.

A Privacy International tem pedido à Amazon para alterar suas configurações padrão e usar técnicas de proteção de privacidade. A intenção é ajudar a proteger a privacidade em casa e garantir que sua interação com seu dispositivo permaneça entre você e seu dispositivo (embora a Amazon diga que, se você optar por desativá-los, eles ainda poderão analisar sua gravação).

Para desativar a gravação padrão do Alexa, você deve:

• Entrar no aplicativo Alexa pelo seu telefone e ir até as configurações de privacidade.
• Sob as configurações de privacidade, escolha “Gerenciar como seus dados melhoram o Alexa”
• Certifique-se de desligar o botão “Ajuda Desenvolver Novos Recursos”
• Abaixo de “Usar mensagens para melhorar as transcrições”, desative o botão ao lado do seu nome.

Falta sigilo no Alexa

O processo de análise de voz do Alexa, descrito por sete pessoas que trabalharam no programa, destaca o papel humano frequentemente negligenciado no treinamento de algoritmos de software. Em materiais de marketing, a Amazon diz que o Alexa “vive na nuvem e está ficando cada vez mais inteligente”. Mas, como muitas ferramentas de software criadas para aprender com a experiência, os humanos estão fazendo parte do ensino.

A equipe é composta por uma mistura de contratados e funcionários da Amazon que trabalham em Boston, Costa Rica, Índia e Romênia, de acordo com as pessoas, que assinaram acordos de confidencialidade impedindo-os de falar publicamente sobre o programa.

Eles trabalham nove horas por dia, com cada revisor analisando até 1.000 clipes de áudio por turno, de acordo com dois funcionários baseados no escritório da Amazon em Bucareste, que ocupa os três últimos andares do edifício Globalworth, na capital da Romênia, distrito de Pipera.

O trabalho é na maior parte humano!

Um trabalhador em Boston disse que ele extraiu dados de voz gravadas em declarações específicas, como “Taylor Swift” e anotou-os para indicar o queria dizer o artista musical.

Ocasionalmente, os ouvintes pegam coisas que os proprietários de Echo provavelmente prefeririam ficar em sigilo: uma mulher cantando mal no chuveiro, digamos, ou uma criança gritando por ajuda. As equipes usam salas de bate-papo internas para compartilhar arquivos quando precisam de ajuda para analisar uma palavra confusa – ou se deparar com uma gravação divertida.

Às vezes, eles ouvem gravações que acham perturbadoras ou possivelmente criminosas. Dois dos trabalhadores disseram que pegaram o que eles acreditam ser uma agressão sexual. Quando algo assim acontece, eles podem compartilhar a experiência na sala de bate-papo interna como forma de aliviar o estresse. A Amazon diz que tem procedimentos em vigor para os trabalhadores seguirem quando ouvirem algo angustiante, mas dois funcionários da Romênia disseram que, depois de solicitar orientação para esses casos, disseram a eles que não era o trabalho da Amazon interferir.

“Levamos a segurança e a privacidade das informações pessoais de nossos clientes a sério“, disse um porta-voz da Amazon em um comunicado enviado por email à Bloomberg “Anotamos apenas uma amostra extremamente pequena de gravações de voz do Alexa para melhorar a experiência do cliente. Por exemplo, essas informações nos ajudam a treinar nossos sistemas de reconhecimento de fala e compreensão da linguagem natural, para que o Alexa possa entender melhor suas solicitações e garantir que o serviço funcione bem para todos.”

“Temos rigorosas salvaguardas técnicas e operacionais e temos uma política de tolerância zero para o abuso do nosso sistema. Os funcionários não têm acesso direto a informações que possam identificar a pessoa ou a conta como parte desse fluxo de trabalho. Todas as informações são tratadas com alta confidencialidade e usamos autenticação multifator para restringir acesso, criptografia de serviços e auditorias de nosso ambiente de controle para protegê-las. ”

A Amazon, em seus materiais sobre política de marketing e privacidade, não diz explicitamente que os humanos estão ouvindo gravações de algumas conversas captadas pela Alexa. “Usamos seus pedidos para que a Alexa treine nossos sistemas de reconhecimento de fala e compreensão da linguagem natural”, diz a empresa em uma lista de perguntas frequentes.

Nas configurações de privacidade do Alexa, a Amazon oferece aos usuários a opção de desabilitar o uso de suas gravações de voz para o desenvolvimento de novos recursos. A empresa diz que as pessoas que optam por sair desse programa ainda podem ter suas gravações analisadas à mão no curso regular do processo de revisão. Uma captura de tela analisada pela Bloomberg mostra que as gravações enviadas aos revisores do Alexa não fornecem o nome completo e o endereço do usuário, mas estão associadas a um número de conta, bem como ao nome do usuário e ao número de série do dispositivo.

“Se isso é uma preocupação de privacidade ou não, depende de quão cautelosa a Amazon e outras empresas são em que tipo de informação eles anotaram manualmente, e como eles apresentam essa informação a alguém”, acrescentou.

Quando o Echo estreou em 2014, o alto-falante cilíndrico inteligente da Amazon rapidamente popularizou o uso do software de voz em casa. Em pouco tempo, a Alphabet Inc. lançou sua própria versão, chamada Google Home, seguida pelo HomePod da Apple Inc. Várias empresas também vendem seus próprios dispositivos na China. Globalmente, os consumidores compraram 78 milhões de alto-falantes inteligentes no ano passado, segundo a pesquisadora Canalys. Milhões de pessoas usam mais software de voz para interagir com assistentes digitais em seus smartphones.

O software Alexa foi projetado para gravar continuamente trechos de áudio, ouvindo uma palavra de ativação. Isso é “Alexa” por padrão, mas as pessoas podem alterá-lo para “Echo” ou “computador”. Quando a palavra de acordar é detectada, o anel de luz na parte superior do Echo fica azul, indicando que o dispositivo está gravando e enviando um comando para Servidores da Amazon.

A maioria dos sistemas modernos de reconhecimento de fala se baseia em redes neurais modeladas no cérebro humano. O software aprende como funciona, detectando padrões em meio a grandes quantidades de dados. Os algoritmos que alimentam o Echo e outros alto-falantes inteligentes usam modelos de probabilidade para fazer estimativas educadas. Se alguém perguntar a Alexa se há um lugar grego por perto, os algoritmos sabem que o usuário provavelmente está procurando um restaurante, não uma igreja ou um centro comunitário.

Hackers podem escutar você

O problema de escuta do Alexa não é novo, ano passado, em agosto, publicamos aqui no Blog Minuto da Segurança que o Amazon Echo, gadget que hospeda  assistente pessoal inteligente da Alexa, pode ser adulterado para permitir a espionagem de consumidores.

Pesquisadores da MWR InfoSecurity criaram uma prova de conceito para um ataque que permite hackers registrar e transmitir conversas que ocorrem na ao redor da Alexa e enviá-las para um computador remoto. Esses espiões em potencial também podem ver as credenciais da Amazon e os tokens de autenticação do proprietário e roubar informações confidenciais de aplicativos no dispositivo.

O Amazon Echo é vulnerável a um ataque físico que permite a um invasor ganhar um root shell no sistema operacional Linux e a instalar malwares sem deixar evidências físicas de adulteração. 

Esse malware poderia conceder um acesso remoto persistente do invasor ao dispositivo, roubar os tokens de autenticação do cliente e a capacidade de transmitir o áudio do microfone ao vivo para serviços remotos sem alterar a funcionalidade do dispositivo, disse a empresa na análise .

Usando um cartão SD externo, eles foram capazes de inicializar o firmware no Echo, instalar um código persistente, ganhar acesso remoto ao root shell e, finalmente, fazer uma bisbilhotar remotamente os microfones no modo “sempre ouvindo”.

Embora o hack requeiram acesso físico ao Echo, é perfeitamente possível que as versões do dispositivo de vendidos por terceiros (incluindo dispositivos usados) possam ser adulterados antes da entrega ao usuário final. A técnica não afeta a funcionalidade do Amazon Echo, então os usuários não seriam capazes de identificar a adulteração.

Fonte: Privacy International & Bloomberg

Veja também: