7 passos para evitar ataques de phishing no Facebook
23 de março de 2017

Os perigos dos assistentes por voz

Aquele provérbio “as paredes têm ouvidos” já foi mais metafórico.

“A tela recebia e transmitia simultaneamente. Qualquer som que Winston fazia, fosse mais baixo que um sussurro, seria captado… não havia forma de saber se você estava sendo monitorado ou não”. Essa é a descrição dos dispositivos de espionagem relatados no romance de 1985 de George Orwell, O Grande Irmão.

E se esse Big Brother não fosse o único com acesso a tela mencionada? E se quase qualquer pessoa com certas habilidades pudesse ouvir? E se a tela fosse usada não só para propaganda política, mas para propagandas personalizadas: digamos, você reclama com seu cônjuge sobre estar com dor de cabeça, e imediatamente vê um comercial de analgésico? Bem, essa situação não se resume mais a um romance. Isso está perto da realidade – um pouco futurístico, mas com boa chance de se tornar real em um futuro próximo.

Já nos cercamos de telas companheiras, e todas suas funções – como assistentes por voz – que são bem capazes de se tornar novas ameaças.

Assistentes virtual como a Apple Siri em smartphones, tablets, e laptops, ou mesmo em dispositivos estacionários como Amazon Echo ou nos autofalantes inteligentes do Google Home. As pessoas os usam para ligar e desligar música, verificar a previsão do tempo, ajustar a temperatura de um ambiente, encomendar bens online, entre outras coisas.

Esses microfones podem representar perigo? Sim. A primeira possibilidade que vem à mente é o vazamento de dados pessoais e corporativos. Mas existe outra possibilidade ainda mais fácil para cibercriminosos monetizarem: você dita suas informações de cartão de crédito e senhas de uso único para preencher formulários online?

Microfones inteligentes podem interpretar vozes mesmo em ambientes barulhentos ou com música tocando. Você não precisa falar claramente para ser entendido: na minha experiência, as vezes os assistentes de voz do Google e Android entendem melhor crianças de 3 anos que seus próprios pais.

Adiante falarei de algumas histórias que podem parecer engraçadas, mas são bem alarmantes ao mesmo tempo. Todas elas são referentes a diferentes assistentes por voz e dispositivos inteligentes. Escritores de ficção científica já visionavam máquinas que podiam falar, mas nem eles poderiam imaginar essas situações que ocorreriam na vida real.

A rebelião do Alexa

Em janeiro de 2017, San Diego Califórnia, canal CW6 colocou no ar uma matéria interessante sobre vulnerabilidades no Amazon Echo (equipado com a assistente virtual Alexa).

O sistema é incapaz de diferenciar uma pessoa pela voz, explicou o apresentador, o que leva ao fato de que seguirá as ordens de qualquer um que estiver próximo. Como resultado, criancinhas começaram a fazer compras involuntárias, sem saber a diferença de pedir seus pais por um lanche e pedir um brinquedo para Alexa.

Então, um dos apresentadores disse no ar: “Eu adoro a menininha que disse para que Alexa encomendasse uma casa de bonecas. ” As reclamações começaram. Diversas pessoas em San Diego reportaram compras involuntárias feitas por assistentes de voz. Alexa interpretou algo dito na TV como um comando e o cumpriu.

A Amazon assegurou que todas as vítimas da “Rebelião da IA” poderiam cancelar os pedidos sem ter de pagar.

Dispositivos juramentados

Dispositivos capazes de ouvir são de grande valia para agências porque podem (tipicamente) repetir qualquer coisa que ouviram. Vamos a uma história de detetive que aconteceu no Arkansas em 2015.

Quatro homens deram uma festa. Assistiram futebol, beberam, relaxaram na hidromassagem – nada extraordinário. Na semana seguinte, o dono da casa encontrou o corpo sem vida de um dos participantes na banheira. Ele se tornou o principal suspeito rapidamente. Os outros convidados afirmaram ter saído da festa antes que qualquer coisa tivesse acontecido.

Policiais notaram a presença de diversos dispositivos na casa: sistemas de iluminação e segurança, uma estação meteorológica – e o Amazon Echo. A polícia decidiu interrogá-lo. Agentes foram até os registros de voz da noite do assassinato. Pediram para que a Amazon compartilhasse os dados, mas a empresa recusou.

Desenvolvedores da Amazon afirmam que o Echo não grava os sons o tempo inteiro, apenas quando usuários pronunciam a palavra de início, por definição, Alexa. A partir daí o comando é armazenado no servidor da empresa por tempo limitado. A Amazon alega que armazena os comandos apenas para melhorar o serviço ao cliente, e usuários podem deletar todos manualmente em suas configurações de conta.

De qualquer forma, os detetives acharam outro dispositivo do qual poderiam tirar pistas. Usaram como evidência o testemunho de um medidor de água inteligente. Nas horas da manhã depois da morte da vítima, uma quantidade exorbitante de água foi utilizada. O dono da casa alegava estar dormindo naquela hora. Investigadores suspeitaram que a água foi usada para lavar sangue.

É importante notar que indicações podem parecer imprecisas. Além do consumo absurdamente alto no meio da noite, também aferiu consumo menor de 40 litros por hora no dia da festa, o que não é suficiente para encher uma banheira. O acusado deu uma entrevista para o StopSmartMeters.org (sim, um site criado para quem odeia medidores inteligentes); ele acreditava que a hora no medidor estava incorreta.

O caso vai a julgamento esse ano.

Assistentes virtuais em filmes
(Alerta de spoiler!)
A cultura de massa também trata assistentes virtuais com suspeita. Por exemplo, no filme Passageiros, o bartender android, Arthur, revela o segredo de Jim Preston e fere sua reputação aos olhos de sua companheira, Aurora. Em “Tinha que ser ele? ” a assistente de voz Justine escuta uma chamada telefônica do protagonista, Ned Fleming e o dedura.

Carro grampeado

A Forbes também reportou alguns casos interessantes sobre dispositivos sendo usados contra seus donos.

Em 2001, o FBI obteve permissão da corte de Nevada para requerer que a ATX Technology ajudasse a interceptar as comunicações de um carro privado. A empresa desenvolve e administra sistemas de carros utilitários que permitem aos donos de carros pedir assistência em caso de acidente.

A empresa obedeceu a determinação. Infelizmente, detalhes técnicos não foram publicados, a não ser a demanda do FBI de que a vigilância fosse executada com “o mínimo de interferência” na qualidade do serviço prestado ao usuário. Parece bem possível que a espionagem tenha ocorrido remotamente.

História similar ocorreu em 2007 na Louisiana. Um motorista ou um passageiro apertou acidentalmente o botão de emergência convocando o serviço da OnStar. O operador respondeu a chamada. Sem resposta, notificou a polícia. Foi aí que ela tentou mais uma vez contatar as possíveis vítimas e ouviu um diálogo que parecia parte de uma negociação de drogas. O operador deixou com que a polícia ouvisse e forneceu a localização do carro. Como resultado, o carro foi parado e maconha foi encontrada no veículo.

Nesse caso, a defesa tentou invalidar as provas da polícia por falta de mandato, mas o tribunal rejeitou esse argumento porque a polícia não era responsável pelo grampo. O suspeito comprara o carro de outro dono há poucos meses antes do incidente e provavelmente não sabia sobre a função de emergência. Foi julgado culpado.

Como ficar fora do ar

Em janeiro, na CES 2017 de Las Vegas, quase todos os dispositivos inteligentes apresentados – de carros a geladeiras – eram equipados com assistentes virtuais. Essa tendência sem dúvida criará uma nova privacidade, segurança, e até mesmo riscos a proteção física.

Todo desenvolvedor precisa tornar segurança uma prioridade. Para usuários comuns, temos algumas dicas para proteger suas vidas dos ouvidos onipresentes.

  1. Desligue o microfone do Amazon Echo e Google speakers. Há um botão. Não é uma forma exatamente conveniente de assegurar privacidade – você sempre precisará se lembrar de neutralizar o assistente – mas já é alguma coisa.
  2. Use as configurações de conta do Echo para proibir ou colocar senhas em compras.
  3. Use uma proteção de antivírus para PCs, tablets, e smartphones para diminuir as chances de vazamentos e manter criminosos longe.
  4. Mude a senha de início do Amazon Echo se alguém em sua casa tem um nome que seja parecido como “Alexa”. Senão, qualquer diálogo próximo do dispositivo pode se tornar um problema.

Não se trata de via de mão única

Você já colocou fita sobre a câmera no seu notebook, escondeu seu celular debaixo do travesseiro, e jogou o Echo fora. Você se sente seguro de espionagem digital agora… mas você não está. Pesquisadores da universidade de Ben-Gurion (Israel) explicaram que até mesmo fones de ouvido comuns podem se tornar dispositivos de escuta.

  1. Fones de ouvido e autofalantes são basicamente um microfone do avesso. Isso significa que cada fone conectado a um computador pode detectar sons.
  2. Alguns chipsets de áudio podem mudar a função de uma porta de áudio a nível de software. Isso não é segredo nenhum – está exposto nas especificações da placa mãe.

Como resultado, cibercriminosos podem transformar seus fones de ouvido em um dispositivo de escuta para gravar secretamente sons e enviá-los a seus servidores por meio da Internet. Estudos práticos provaram isso: dessa forma, alguém pode gravar conversas em qualidade aceitável ocorrendo diversos metros de distância. Considere que as pessoas geralmente mantêm seus fones próximos, no pescoço ou em uma mesa.

Para se proteger desse tipo de ataque, use autofalantes ativos no lugar de fones de ouvido e caixas de som. Autofalantes ativos possuem amplificadores entre o conector e o alto-falante que impedem que o sinal faça o caminho contrário.