Infractorii cibernetici au o nouă țintă: aplicațiile care transformă cuvintele rostite în text
0Infractorii cibernetici îşi îndreaptă atenţia, din ce în ce mai mult, către programele software care convertesc rapid şi fără efort cuvintele rostite în text scris, avertizează experţii în securitate cibernetică.
„Software-ul care converteşte rapid şi fără efort cuvintele rostite în text scris a fost un avantaj pentru mulţi dintre noi. Capacităţile sale sunt utile în diverse situaţii. De exemplu, pot înlocui tastarea mesajelor în aplicaţiile de chat, pot facilita luarea de notiţe în timpul întâlnirilor şi interviurilor şi pot ajuta persoanele cu dizabilităţi. Pe de altă parte, proliferarea software-ului de transcriere audio-în-text alimentat de AI continuă să ridice probleme de securitate şi confidenţialitate - şi cu un motiv întemeiat (...) Aplicaţiile de transcriere audio (...) tind să colecteze fişierele audio care captează adesea cuvintele rostite nu doar ale unei persoane, ci, eventual, şi ale rudelor, prietenilor şi colegilor lor. În cele din urmă, îi pot face vulnerabili la atacuri cibernetice sau încălcări ale confidenţialităţii”, explică Martina Lopez, specialistă în cadrul Eset, într-un articol publicat recent pe blogul din România al companiei.
Potrivit sursei citate, caracteristicile, care se bazează pe recunoaşterea vorbirii şi algoritmii de Machine Learning, pot fi furnizate fie de compania din spatele aplicaţiei, fie, mai ales acolo unde eficienţa şi viteza sunt esenţiale, de către un serviciu terţ.
În acelaşi timp, experţii atenţionează şi asupra faptului că nici transcrierea manuală nu este lipsită de riscuri pentru confidenţialitate. „Acesta este cazul mai ales dacă persoanele care transcriu fişierele audio află informaţiile confidenţiale ale oamenilor şi/sau dacă aceste informaţii sunt partajate cu contractori terţi fără consimţământul utilizatorilor. De exemplu, Facebook (acum Meta) s-a confruntat cu controverse în 2019, pentru că a plătit sute de contractori pentru a transcrie mesaje audio din chaturile vocale ale unor utilizatori de pe Messenger”, subliniază Lopez.
Pe de altă parte, revenind la aplicaţiile de transcriere a cuvintelor rostite, analiza Eset evidenţiază că acestea solicită permisiuni pentru a accesa diverse informaţii despre dispozitiv sau utilizator, cum ar fi locaţia, lista de contacte, chat-urile în aplicaţiile de mesagerie - indiferent dacă au sau nu nevoie de astfel de permisiuni pentru funcţionarea optimă.
De aici nu mai e decât un pas până la apariţia clonelor pentru programe utilitare, lansate în mediul online de către hackeri.
„Infractorii cibernetici au lansat clone pentru programe utilitare populare, cum ar fi convertoare şi cititoare de fişiere, editori video şi aplicaţii pentru tastatură. De fapt, există diverse aplicaţii rău intenţionate care pretind că oferă diverse funcţionalităţi, de la cititoare PDF şi de coduri QR şi până la software de traduceri sau de editare de imagine. Sunetul şi textul furat pot fi folosite pentru atacuri cibernetice, inclusiv cele care implică audio deepfakes care pot fi apoi utilizate pentru atacuri de inginerie socială sau pentru distribuirea de ştiri false. Procesul ar implica, în general, doi paşi: formarea modelului de machine learning şi utilizarea modelului în sine. În primul pas, modelul foloseşte procesarea semnalului audio şi tehnici de procesare a limbajului natural pentru a afla cum sunt pronunţate cuvintele şi cum sunt structurate propoziţiile. Odată ce modelul este antrenat cu suficiente date, ar putea genera text dintr-un fişier audio. Un atacator ar putea folosi apoi modelul pentru a manipula sunetele furate şi pentru a le face pe victime să spună lucruri pe care nu le-au spus niciodată, inclusiv pentru a le şantaja sau a le uzurpa identitatea pentru a-şi păcăli angajatorii sau rudele. Escrocii ar putea, de asemenea, să se prezinte ca o persoană publică pentru a genera ştiri false”, notează experta în securitate cibernetică a Eset.
În acest context, producătorul de soluţii antivirus a întocmit o listă de recomandări pentru a evita interacţiunea cu aplicaţiile maliţioase: folosirea de platforme de încredere, apelarea la furnizori de servicii verificaţi care implementează toate reglementările, cum ar fi GDPR şi cele mai bune practici din industrie, instalarea de aplicaţii doar din magazinele oficiale de aplicaţii mobile, examinarea politicilor de confidenţialitate ale furnizorilor de servicii, evitarea partajării informaţiilor sensibile, în special lucruri precum parole sau informaţii financiare, prin intermediul software-ului de transpunere a vorbirii în text, efectuare de actualizări constante, dar şi utilizarea unui software de securitate cu protecţie multi-stratificată, de la un furnizor recunoscut.