Você usa Assistente virtuais inteligentes?
Quem nunca fez uma pesquisa no Google falando “Ok Google o que é...?” ou “Alexa, coloque um alarme às 7h”?
Lançados há alguns anos para smartphones, os assistentes pessoais digitais como Siri, Bixby, Cortana ou Google Assistant, trouxeram grande empolgação para os usuários. Os recursos de comando por voz passaram a ser uma tendência tecnológica, pois possibilitam uma otimização do tempo das pessoas, uma vez que elas conseguem fazer mais coisas em menos tempo.
Apesar de trazerem comodidade, esses assistentes podem ser perigosos com relação a privacidade dos usuários, já que parte dos áudios são coletados pelos desenvolvedores para fazer a análise dos comandos dados e a resposta dos assistentes. Mesmo ficando armazenadas por um período determinado e sendo excluídos após isso, se as informações coletadas forem de cunho sensível e aconteça um vazamento de dados, muitos problemas podem ocorrer para o usuário e para as empresas.
Existe muita especulação também sobre o funcionamentos desses assistentes em momentos aleatórios ou quando estão desabilitados. Por exemplo, muitos usuários relatam que logo após falarem que precisam comprar algo, magicamente começam aparecer anúncios de tal coisa nas suas redes sociais. O assunto inclusive virou meme aqui no Brasil.
Créditos da imagem: Engenheiro Sincero
Atualmente esses assistentes não se restringem apenas aos celulares, já existem há algum tempo no mercado, dispositivos como Google Home e Echo Dot que possuem inteligência artificial com funcionalidades que vão desde tocar uma playlist de música, até fazer compras online. Ou seja, essas empresas possuem acesso ao que as pessoas falam dentro de suas casas, seus padrões de compra, de pesquisa e comportamento online.
Todos esses componentes podem ser pratos cheios para hackers. A empresa alemã Security Research Labs (SRLabs) fez quatro testes de segurança na Alexa (Echo Dot) e no Google Home, nenhum dos dois passou nos testes.
Para isso foram feitos utilitários falsos para os assistentes, todos eles passaram nos processos de verificação de segurança dos dispositivos. Um dos testes era sobre a palavra de despertar o dispositivo e de desligar, mesmo após ser desativado o assistente começou a gravar o que o usuário falava.
Em outro teste o assistente dizia haver uma atualização de software disponível e para instalá-la o usuário deveria dizer sua senha da conta do Google. Esses dispositivos nunca pedem a senha do usuário, mas alguém desinformado certamente daria sua senha e deixaria todas as suas contas vulneráveis ao roubo de credenciais e de eventuais cartões de crédito cadastrados.
Não há dúvidas de que a Internet das Coisas (IOT) veio para facilitar a vida das pessoas, mas é uma tecnologia que ainda está amadurecendo, principalmente no que tange à segurança da informação, por isso é preciso estar sempre atento e informado sobre quais informações são solicitadas para determinados serviços e quais não são.
Para conhecer um pouco mais sobre a pesquisa da SRLabs, acesse: https://srlabs.de/bites/smart-spies/
A pesquisa do SRLabs é de 2019, porém em 2018 nosso parceiro Trend Micro já havia publicado um artigo sobre as vulnerabilidades de segurança encontradas na inteligência artificial da Amazon, Alexa.
Mesmo em 2020 os ataques ainda eram possíveis, como demonstra a pesquisa da Check Point Research. Os resultados mostram que certos subdomínios Amazon / Alexa eram vulneráveis a erros de configuração de Cross-Origin Resource Sharing (CORS) e Cross Site Scripting. Usando o XSS, foi possível obter o token CSRF e realizar ações em nome da vítima.
Após a descoberta dessas brechas de segurança e a aprovação de leis de proteção de dados em vários países, a preocupação com protocolos de segurança e privacidade dos usuários tornaram-se pontos importantes para as próximas versões dos assistentes. As projeções são para que em 2021 a segurança de dados nesses assistentes sejam prioridades. Enquanto aguardamos, leia as dicas da Trend Micro para se manter seguros com dispositivos que são acionados por voz: https://www.trendmicro.com/vinfo/br/security/news/internet-of-things/how-secure-are-your-internet-enabled-voice-assistants
