Transcrição de áudio no WhatsApp e os riscos à privacidade e à segurança do usuário

Enviar áudios pode facilitar e tornar mais rápida a comunicação pelo mensageiro, mas nem sempre é um facilitador para quem os recebe. Para as ocasiões que impossibilitam a audição, os aplicativos de transcrição de áudio podem ser bastante úteis, como um bot para WhatsApp que se popularizou recentemente por fazer a tarefa em instantes. No entanto, o uso dessas aplicações em geral pode representar riscos à privacidade e à segurança do usuário.

Embora os criadores do bot afirmem proteger a privacidade dos usuários e não manter informações coletadas nos áudios, é difícil comprovar tais políticas na prática sem alguma forma de checagem, como uso do código-aberto. Vale lembrar que isso não é restrito apenas aos softwares de terceiros: o anúncio do WhatsApp, popular mensageiro de propriedade da Meta, sobre uma provável funcionalidade de transcrição pode deixar alguns usuários desconfiados, visto que o Facebook já se envolveu em casos polêmicos relacionados à transcrição de áudios enviados por usuários em 2019.

Ao analisar os milhares de aplicativos disponíveis, os pesquisadores da Eset, empresa de segurança da informação, listam algumas recomendações importantes e o que é preciso considerar antes antes de usar qualquer tipo de aplicativo de transcrição.

Imagem: Buketaltindal/Shutterstock.com

• Armazenamento de dados: grande número desses aplicativos solicitam permissões ao usuário para acessar diferentes dados no dispositivo, como localização, contatos, aplicativos de mensagens ou até mesmo o microfone do celular, sob pretexto de proporcionar uma melhor experiência ao usuário.

No tanto, os pesquisadores alertam que a coleta desses dados pode apresentar um risco se for mal utilizada, compartilhada com terceiros sem o consentimento do usuário, ou se ele não estiverem devidamente protegidos nos servidores da empresa que os armazena. Embora esse ponto não seja exclusivo para esse recurso, esse tipo de aplicativo que coleta arquivos de áudio, esses geralmente são da voz do próprio usuário ou de seus familiares, principalmente no caso dos bots para WhatsApp ou Telegram.

Além disso, as informações de áudio e texto coletadas pelo aplicativo também podem ser usadas para criar um perfil, personalizar anúncios e recomendações. Se o aplicativo não proteger adequadamente as informações pessoais, os usuários podem ficar vulneráveis a ataques cibernéticos.

• Aplicativos maliciosos: aplicativos de áudio para texto ou chatbots podem não proteger adequadamente as informações do usuário ou até mesmo comercializá-las. Diariamente, milhões dessas aplicações são lançadas na web por atores mal-intencionados que se aproveitam dessas oportunidades para infectar os dispositivos das vítimas que estão a procura do recurso.

Em geral, eles podem ser muito bem-sucedidos, visto que os usuários nem sempre verificam informações, como desenvolvedor e políticas de privacidade. Além disso, esses aplicativos maliciosos podem ser cópias de aplicativos legítimos, tornando difícil para os usuários simplesmente identificá-los como fraudulentos.

“Vale ressaltar que isso também não é exclusivo de aplicativos de transcrição de áudio, mas também acontece com esses tipos de programas “utilitários” ou para usos específicos, como conversores ou leitores de arquivos com extensões específicas, editores de vídeo e muito mais. Na verdade, temos visto no Google Play aplicativos que oferecem diferentes tipos de funcionalidades, desde leitores de PDF e códigos QR, passando por tradutores e editores de imagem que são usados para distribuir malware”, diz Martina López, pesquisadora de Segurança Computacional na Eset.

• Roubo de informações para realizar ataques cibernéticos: um aplicativo falso ou violação de um aplicativo real, áudios e textos roubados podem ser usados para ataques cibernéticos. O treinamento de um modelo de aprendizado de máquina para produzir deepfakes em formato de áudio, seja para fake news ou ataques de engenharia social, é um exemplo.

Em geral, esse processo envolve duas etapas: treinar e usar o próprio modelo. O primeiro passo é identificar o local onde os dados roubados são usados para treinamento do modelo de aprendizado de máquina. A partir das técnicas de processamento de sinais de áudio e linguagem natural capturados, a IA vai aprender como as palavras são pronunciadas e as frases estruturadas. Uma vez que o modelo é treinado com dados suficientes, ele será capaz de gerar texto a partir de um arquivo de áudio.

Desta forma, um invasor poderia usar o modelo para manipular o áudio roubado, fazendo a vítima “dizer” qualquer coisa. A transcrição falsa poderia ser usada para chantagear, extorquir ou enganar contatos e familiares, ou podem usá-lo para se passar por uma pessoa reconhecida e gerar notícias falsas.

Imagem: Ociacia/Shutterstok.com

• Transcrição automatizada e manual: enquanto a primeira usa algoritmos de reconhecimento de fala e machine learning para converter áudio em texto sem intervenção humana; a segunda implica em usar humanos para o trabalho de transcrição.

As duas formas de se oferecer o recurso apresentam questões em relação à privacidade a serem consideradas pelo usuário: na transcrição automatizada, embora seja mais rápida e eficiente na maioria dos casos, em muitos casos o destino do áudio é desconhecido: ele será usado para melhorar o algoritmo? Será armazenado em servidores, próprios ou de terceiros, durante a análise do conteúdo? Como garantir que essas informações sejam enviadas, se o processamento de áudio for terceirizado?

Já na transcrição manual, feita por humanos — o que também pode representar um risco à privacidade —,  a pessoa poderá ter acesso a informações confidenciais ou se essas forem compartilhadas com terceiros contratados, sem consentimento do usuário. Como ocorreu no caso do Facebook, mencionado logo no começo do texto.

Como usar os aplicativos de transcrição de áudio com um pouco mais de segurança

Se mesmo assim a necessidade de usar tais aplicativos é maior, os pesquisadores da Eset listam algumas recomendações:

• Revise as políticas de privacidade do aplicativo, verifique as seções sobre as informações armazenadas e compartilhadas com terceiros;
• Baixe-os apenas de fontes confiáveis e evite aplicativos de terceiros desconhecidos ou não verificados. Caso seja um chatbot, verifique se o número ou usuário está correto, e certifique-se de que não se trate de uma cópia maliciosa;
• Não compartilhe informações confidenciais ou sensíveis por meio dos áudios a serem enviados para o aplicativo, como senhas ou informações financeiras;
• Mantenha o aplicativo sempre atualizado para ter correções e patches de segurança mais recentes.