מכתיבים לסמארטפון את ההודעות שלכם? האם זה מסכן את הפרטיות?

05.03.24

ESET05.03.24

תוכנות שהופכות מילים לטקסט באופן פשוט ויעיל הן אוצר של ממש עבור רבים מאיתנו. יכולותיהן הופכות לשימושיות במצבים שונים – למשל, הן יכולות לחסוך לנו את הנטל שכרוך בהקלדת ההודעות שלנו באפליקציות צ׳ט, לסייע בכתיבת הערות במהלך פגישות וראיונות, ולסייע לבעלי מוגבלויות.

מצד שני, העלייה המטאורית של תוכנות להמרת שמע לטקסט המבוססות על בינה מלאכותית ממשיכות להעלות חששות הנוגעים לאבטחה ופרטיות – ומסיבה טובה. במאמר הזה, אנחנו נבחן מספר שיקולי אבטחה עיקריים הקשורים לאפליקציות האלה ונמליץ על צעדים פשוטים לצמצום הסיכונים הפוטנציאליים.

סיכונים הקשורים לאפליקציות לתמלול שמע

פרטיות

ישנן כמה אפליקציות ובוטים ייעודיים שמציעים שירות של תמלול אוטומטי. בנוסף, יכולות כאלה קיימות בצורה מובנית במידה מסוימת במכשירים ובמערכות הפעלה רבות, וגם באפליקציות צ׳ט ותקשורת וידאו מוכרות.

האפשרויות האלה, שמסתמכות על זיהוי דיבור ועל אלגוריתמים המבוססים על למידת מכונה, מסופקים ע״י החברה שמפתחת את התוכנה או ע״י שירות חיצוני. האפשרות השנייה מעלה עוד חששות רבים הנוגעים לפרטיות נתונים.

האם קטע השמע ישמש כדי לשפר את האלגוריתם? האם הוא יאוחסן בשרתים, של החברה עצמה או של ספק השירות החיצוני, במהלך עיבוד התוכן? כיצד מאובטחת העברת המידע הזו, במיוחד במקרים בהם עיבוד השמע מבוצע ע״י ספק חיצוני?

כמובן, תמלול ידני, שמבוצע ע״י בני אדם, אינו מגיע ללא סיכונים לפרטיות. זה נכון במיוחד אם האנשים שמתמללים את קטע השמע לומדים את המידע המסווג שנשמע בהם, ואם מידע כזה משותף עם קבלנים חיצוניים ללא הסכמת המשתמש. לדוגמה, חברת Facebook (כיום Meta) ספגה ביקורת ציבורית קשה בשנת 2019 על כך ששילמה למאות קבלנים חיצוניים עבור תמלול הודעות קוליות של משתמשים מסוימים ב-Facebook Messenger.

איסוף ואחסון נתונים

אפליקציות רבות מסוגים שונים מבקשות הרשאות כדי לגשת למידע על המכשיר או על המשתמש, כמו מיקום, אנשי קשר, שיחות באפליקציות מסרים מיידיים – וזאת גם אם אין להם צורך בהרשאה כזאת כדי למלא את תפקידן. איסוף המידע הזה גורם לסיכון אם המידע מנוצל לרעה או משותף עם גורמים חיצוניים ללא הסכמה מודעת של המשתמש, או אם הוא לא מאובטח כהלכה בשרתי החברה שמאחסנת אותו.

אפליקציות לתמלול שמע, למשל, נוטות לאסוף קבצי שמע שכוללים לא רק את המילים שנאמרו מפיו של אדם אחד, אלא גם את אלו של כל הקרובים, החברים והשותפים לעבודה. בסופו של דבר, אפליקציות כאלה עשויות להפוך את המשתמשים לפגיעים למתקפות סייבר או לפגיעות בפרטיות.

אפליקציות זדוניות

אם אתם מחפשים תוכנת תמלול, עליכם להיזהר גם מפני אפליקציות זדוניות וצ׳טבוטים. גם פושעי סייבר עוקבים אחר המגמות החדשות, ומכיוון שהתוכנות האלה הפכו לפופולריות במיוחד, הם עשויים לנסות ולהשיק אפליקציות מזויפות כדי להדביק את קורבנותיהם בנוזקות.

אותן האפליקציות הזדוניות עשויות להופיע כהעתקים מדויקים של אפליקציות לגיטימיות, מה שיקשה על המשתמשים להבדיל בין האפליקציה המזויפת למקורית. האפליקציה המזויפת עשויה להצליח מאוד במשימתה הזדונית, עד כדי כך שלא תטרחו לבדוק את הלגיטימיות שלה, ובטח לא את מדיניות הפרטיות שלה.

בעבר זוהו מקרים בהם פושעי סייבר השיקו אפליקציות המתחזות לאפליקציות פופולריות, כמו תוכנות להמרת וקריאת קבצים, עורכי וידאו ומקלדות חלופיות. למעשה, ראינו מגוון רחב של אפליקציות זדוניות שטענו כי הן מציעות אפשרויות שונות, החל מתוכנות לקריאת קבצי PDF וקודי QR וכלה בתוכנות לתרגום ולעריכת תמונות.

גניבת מידע

קטעי שמע וטקסט גנובים יכולים לשמש ככלי לביצוע מתקפות סייבר, ובמיוחד כאלה הכוללים שימוש בקטעי שמע מסוג ״זיוף עמוק״ בהם ניתן להשתמש כחלק ממתקפות הנדסה חברתית או להפצת חדשות כזב.

בדרך כלל, התהליך יהיה מורכב משני שלבים: אימון מודל למידת המכונה ושימוש במודל עצמו. בצעד הראשון, המודל משתמש בטכניקות עיבוד אותות השמע ועיבוד השפה הטבעי כדי ללמוד כיצד מילים שונות מבוטאות וכיצד משפטים בנויים. לאחר שהמודל אומן באמצעות כמות מספקת של נתונים, הוא יוכל ליצור טקסט מתוך קובץ שמע.

תוקף יוכל להשתמש במודל כדי לבצע שינויים בקבצי שמע גנובים ולגרום לקורבנות להגיד דברים שלא אמרו מעולם, באופן שישמש לסחיטה או להתחזות לקורבן כדי לרמות את המעסיק שלו או קרובי המשפחה שלו. בנוסף, הם יכולים להתחזות לדמות ציבורית כדי ליצור חדשות כזב.

כיצד להתגונן?

1. השתמשו בפלטפורמות אמינות

השתמשו בספקי שירותים מורשים והורידו את האפליקציות שלכם מחנויות רשמיות בלבד. במילים אחרות, הימנעו ממקורות לא ידועים או לא-מאומתים שעשויים לחשוף אתכם למתחזים זדוניים.

2. קראו את האותיות הקטנות

בחנו את מדיניות הפרטיות של ספקי שירות, ושימו לב באופן מיוחד לחלקים בהם נאמר אם נתוני הדיבור שלכם נשמרים ומשותפים עם ספקים חיצוניים, מי יכול לגשת אליהם, והאם הוא מוצפן במהלך ההעברה שלו והאחסון שלו. בדקו את מדיניות שמירת הנתונים שלהם, וכן האם מידע שלכם יכול להימחק לפיד דרישה. ככלל, עדיף שלא להשתמש בשירותים שאוספים נתונים כאלה או בשירותים בהם המידע נשמר באופן לא-אנונימי.

3. הימנעו משיתוף מידע רגיש

הימנעו משיתוף פרטים מסווגים או רגישים, במיוחד דברים כמו סיסמאות או מידע פיננסי, באמצעות תוכנות תמלול.

4. עדכנו

עדכנו את כל התוכנות שלכם והתקינו את כל טלאי האבטחה הזמינים, כדי להימנע מפגיעה ע״י מתקפות שמנצלות פרצות אבטחה בתוכנות. כדי לשפר את ההגנה שלכם עוד יותר, השתמשו בתוכנת אבטחה רב-שכבתית מספק אמין.