E se dispositivos inteligentes pudessem ser hackeados apenas com o uso da voz?

Smartphones e dispositivos wearables introduziram uma forma totalmente nova de relacionamento entre homens e máquinas. Enquanto estávamos só no PC, utilizávamos o teclado e o mouse, mas os aparelhos touch e wearables acabaram com a necessidade de periféricos e agora podemos interagir com a tecnologia usando apenas as mãos ou nossa voz.

O maior reflexo dessa nova realidade foi a chegada dos “assistentes pessoais”. Ativados pela voz, eles prometem nos ajudar em tarefas simples do dia a dia sem precisar sequer tocar o aparelho. Tanto a Apple quanto o Google já utilizam tecnologias de reconhecimento de voz em seus aparelhos e a ‘Siri’ da Apple e o ‘Google Now’ são, de fato, os assistentes pessoais de nossa vida moderna. Ambos os sistemas operam gravando sua voz, traduzindo-a para um texto e executando comandos em seu aparelho – desde ligações, mensagens de texto, envio de e-mails e muito mais.

No entanto, essa tecnologia de reconhecimento de voz – tão necessária nos aparelhos inteligentes modernos – pode não ser tão segura quanto imaginávamos, pois não é configurada para reconhecer nossa voz de forma individualizada. Qualquer um pode pedir ao seu Google Now para fazer uma ligação ou enviar uma mensagem e ele irá obedientemente obedecer – mesmo que aquela voz pedindo não seja a sua.

Você já pensou que o seu aparelho smartphone está vulnerável aos comandos de outra pessoa? E que essa pessoa poderia fazer uma chamada internacional, enviar uma mensagem de texto ou escrever um e-mail da sua conta sem o seu conhecimento? Ataques “pelo ar” utilizando reconhecimento de voz são reais, e não se limitam apenas a smartphones, pois as tecnologias de ativação por voz também estão se tornando comuns em outros aparelhos conectados dentro de casa, como as Smart TVs e os consoles de videogame.

Os aparelhos inteligentes da minha casa respondem aos meus comandos de voz, mas eles também podem responder aos comandos de QUALQUER outra voz, até mesmo uma sintetizada por alguma outra máquina dentro de casa.

A conveniência de poder controlar a temperatura do ambiente, destrancar a porta da frente e fazer compras on-line usando apenas a voz é muito excitante e uma realidade cada vez mais próxima de muitos lares no mundo todo e também no Brasil. Entretanto, ainda precisamos avançar quando o assunto é a autenticação por fonte de voz. Por exemplo, as crianças poderão acessar conteúdos impróprios se dispositivos não puderem identificar se é uma criança falando ou um adulto? Questões como essa precisam ser levantadas.

Ser capaz de emitir comandos para minha televisão pode não ser a coisa mais perigosa do mundo, mas novos aparelhos inteligentes, conectados à Internet das Coisas, estão sendo lançados todos os dias. Se os problemas são mínimos quando pensamos em mudar o canal da TV, ser capaz de oferecer comandos à sistemas de segurança da casa, sistemas de home assistance, e carros ou áreas de trabalho conectadas pode ser um problema muito maior. Utilizar a tecnologia de ativação de voz na Internet das Coisas sem autenticar a fonte da voz é como deixar seu computador sem uma senha, qualquer um poderá usá-lo e enviar comandos.

Não há dúvidas de que se trata de uma tecnologia muito empolgante, mas precisa ser também segura. Ou seja, é preciso garantir que os comandos estão vindo de uma fonte confiável e autêntica. Caso contrário, uma voz vinda de um alto-falante ou de uma fonte externa qualquer poderá levar a ações não autorizadas de um dispositivo que estava lá para ajudar.

Uma nova ameaça

Até o momento ainda não identificamos nenhum tipo de malware tirando vantagem desse tipo de tecnologia, mas certamente essa deve ser uma preocupação para a indústria de dispositivos inteligentes e desenvolvedores de sistemas operacionais nos próximos meses.

Quando o assunto é tecnologia quase sempre é assim, a conveniência pode vir junto com os riscos à privacidade e à segurança, e parece que com a ativação por voz não será diferente.