Quais os riscos de segurança com a transcrição de áudio para texto no WhatsApp e outros aplicativos?

Quais os riscos de segurança com a transcrição de áudio para texto no WhatsApp e outros aplicativos? Com o aumento dos apps com transcrição de áudio para texto, a ESET aconselha o que considerar ao usar esses serviços

Os aplicativos de transcrição podem ajudar a economizar tempo e esforço convertendo rapidamente arquivos de áudio em texto, o que pode ser útil em muitos contextos. Recentemente, popularizou-se um bot para WhatsApp que realiza essa tarefa em questão de minutos. Seus criadores afirmam que protegem a privacidade dos usuários e que não mantêm registo das informações contidas nos áudios, a verdade é que a utilização de aplicações de transcrição em geral pode representar riscos para a segurança e privacidade dos utilizadores que devem ser considerados. Nesse contexto, a ESET, líder em detecção proativa de ameaças, analisa os riscos de segurança associados ao uso desses recursos e fornece algumas recomendações importantes:

Como funciona a transcrição e a privacidade

Embora o WhatsApp tenha anunciado que está trabalhando em uma funcionalidade de transcrição, existem diferentes aplicativos desenvolvidos por terceiros que usam diferentes métodos para transcrever um arquivo de áudio para texto, tanto manualmente quanto automaticamente.

No caso da transcrição automatizada, alguns aplicativos usam algoritmos de reconhecimento de fala e Machine Learning para converter áudio em texto sem intervenção humana. Embora a segunda opção seja geralmente mais rápida e eficiente, ela também levanta algumas questões em relação à privacidade, já que em muitos casos o destino do áudio é desconhecido: ele será usado para melhorar o algoritmo? Será armazenado em servidores, próprios ou de terceiros, durante a análise do conteúdo? Como garantir que essas informações sejam enviadas, se o processamento de áudio for terceirizado?

Por outro lado, a transcrição manual implica que ela é feita por uma pessoa, o que pode representar riscos à privacidade, se aqueles que fazem essa transcrição tiverem acesso a informações confidenciais ou se forem compartilhadas com terceiros contratados sem o consentimento do usuário. A Meta (na época, Facebook) se envolveu em uma polêmica por terceirizar a transcrição de áudios enviados por seus usuários a fim de melhorar seu sistema de reconhecimento de voz.

Armazenamento de dados

 Um grande número desses aplicativos pede aos usuários que concedam permissões para acessar diferentes informações no dispositivo, como localização, contatos, aplicativos de mensagens ou até mesmo o microfone do dispositivo, a fim de funcionar e proporcionar uma melhor experiência ao usuário.

No entanto, a ESET alerta que a coleta dessas informações pode apresentar um risco se for mal utilizada, compartilhada com terceiros sem o consentimento do usuário em questão ou se ele não estiver devidamente protegido nos servidores da empresa que o armazena. Embora esse ponto não seja exclusivo a esses recursos, é verdade que esse tipo de aplicativo coleta arquivos de áudio que geralmente são da voz do usuário ou de seus familiares, principalmente no caso dos bots para WhatsApp ou Telegram.

Além disso, as informações de áudio e texto coletadas pelo app também podem ser usadas para criar um perfil da pessoa e personalizar anúncios e recomendações. Se o aplicativo não proteger adequadamente as informações pessoais, os usuários podem ficar vulneráveis a ataques cibernéticos.

Aplicativos maliciosos: Aplicativos de áudio para texto ou chatbots sem políticas de privacidade fortes, que não protegem adequadamente as informações do usuário ou até mesmo as comercializam, podem existir. Também pode acontecer que, com o surgimento dessas tecnologias, os cibercriminosos se aproveitem da situação para lançar apps falsos que usam como telas para infectar as vítimas com algum tipo de malware.

O problema é que esses aplicativos fraudulentos podem ser muito bem-sucedidos porque os usuários nem sempre verificam quem desenvolveu o aplicativo ou examinam cuidadosamente suas políticas de privacidade. Além disso, esses aplicativos maliciosos podem ser cópias de aplicativos legítimos, tornando difícil para os usuários simplesmente identificá-los como fraudulentos.

“Vale ressaltar que isso também não é exclusivo de aplicativos de transcrição de áudio, mas também acontece com esses tipos de programas “utilitários” ou para usos específicos, como conversores ou leitores de arquivos com extensões específicas, editores de vídeo e muito mais. Na verdade, temos visto no Google Play aplicativos que oferecem diferentes tipos de funcionalidades, desde leitores de PDF e códigos QR, passando por tradutores e editores de imagem que são usados para distribuir malware”, diz Martina López, Pesquisadora de Segurança Computacional da ESET.

Roubo de informações para realizar ataques cibernéticos

Seja por um aplicativo falso ou por uma violação de um aplicativo real, áudios e textos roubados podem ser usados para ataques cibernéticos. Um exemplo disso pode ser o treinamento de um modelo de aprendizado de máquina para produzir deepfakes em formato de áudio, seja para fake news ou ataques de engenharia social.

O processo geralmente envolveria duas etapas: treinar e usar o próprio modelo. O primeiro passo é onde os dados roubados são usados para treinar o modelo de aprendizado de máquina, que usará técnicas de processamento de sinais de áudio e linguagem natural para aprender como as palavras são pronunciadas e as frases estruturadas. Uma vez que o modelo é treinado em dados suficientes, ele seria capaz de gerar texto a partir de um arquivo de áudio.

Um invasor pode usar o modelo para manipular o áudio roubado e fazer com que as vítimas digam coisas que nunca disseram. Eles podem usar a transcrição falsa para chantagear, extorquir ou enganar eles e seus parentes, ou podem até se passar por uma pessoa reconhecida e gerar notícias falsas.

Recomendações para usar esses aplicativos com segurança:

  • Baixe-os apenas de fontes confiáveis e evite baixar aplicativos de terceiros desconhecidos ou não verificados. No caso de ser um chatbot, verifique se o número ou usuário está correto, e não uma cópia maliciosa;
  • Revise as políticas de privacidade do aplicativo, verifique as seções sobre as informações armazenadas e compartilhadas com terceiros;
  • Não compartilhe informações confidenciais ou sensíveis por meio dos áudios a serem enviados para o aplicativo, como senhas ou informações financeiras;
  • Se for um aplicativo para download, mantenha-o atualizado para ter as correções e patches de segurança mais recentes.
Fonte: ESET

Veja também:

Sobre mindsecblog 2432 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Mais de 80% dos ataques cibernéticos miram funcionários | Minuto da Segurança da Informação
  2. Violação de dados envolvendo PWC cresce | Minuto da Segurança da Informação
  3. ESG+T: Cibersegurança precisa participar das decisões | Minuto da Segurança da Informação
  4. Qual é a diferença: Vulnerability Scan x Pen Test | Minuto da Segurança da Informação

Deixe sua opinião!