Автор: Діпаян Гош

Анотація:

Віртуальні асистенти (VA), такі як Siri та Google Assistant, стали невід'ємною частиною нашого життя, допомагаючи встановлювати нагадування, отримувати маршрути, слухати музику та багато іншого — лише за допомогою голосових команд. Вони зручні і полегшують життя, особливо в умовах сучасної метушні. Але є й інша сторона VA, на яку слід звертати увагу: вони збирають велику кількість особистих даних, що може викликати занепокоєння щодо конфіденційності та безпеки. Ці асистенти постійно слухають команди, що означає, що вони можуть випадково вловити приватну інформацію. Ці дані зберігаються на серверах великих технологічних компаній, і хоча вони використовуються для поліпшення роботи асистента, існує ризик, що ця інформація може бути зламана або доступна людям з поганими намірами. В Індії, де швидко зростає використання смартфонів, особливо серед молоді, ця проблема стає ще актуальнішою. Багато людей тут покладаються на свої телефони для всього — від банківських операцій до покупок та спілкування, що робить їх більш вразливими до ризиків щодо конфіденційності. Ризики не обмежуються лише особистою конфіденційністю. Іноді VA можуть бути обмануті для виконання певних дій, якщо вони почують конкретні команди, що може призвести до проблем з громадською безпекою. Було б розумно обмежити дозволи, надані цим асистентам, щоб вони не отримували більше даних, ніж потрібно. Також важливо регулярно перевіряти налаштування пристроїв та вимикати непотрібні функції. Окрім особистих кроків, зростає потреба у кращих законах і правилах в Індії, які захищають дані користувачів і встановлюють стандарти для того, як компанії обробляють інформацію, зібрану за допомогою ШІ-асистентів.

У цій статті ми розглянемо:

• Віртуальні асистенти в повсякденних додатках
• Ключові переваги віртуальних асистентів та зростання їх використання
• Основні ризики щодо конфіденційності
• Основні ризики для безпеки користувачів
• Приклади реальних інцидентів
• Можливі способи зменшення ризиків

1. Вступ

Віртуальні асистенти (VA), такі як Siri, Google Assistant і Alexa, змінили спосіб використання технологій, дозволяючи нам керувати пристроями, просто говорячи до них. Вони почалися з простих технологій розпізнавання голосу ще в 1950-х роках з ранніми чат-ботами, такими як ELIZA, але сьогоднішні VA працюють на основі передових технологій штучного інтелекту (ШІ), що дозволяє їм виконувати складні завдання. Вони допомагають людям організовувати свої рутини, керувати онлайн-покупками, вести фінанси і навіть відстежувати здоров'я — все це за допомогою голосових команд [1]. Ця зручність зробила їх дуже популярними та важливою частиною щоденного життя, особливо на смартфонах.

В Індії, де використання смартфонів швидко зростає, VA поширюються в різних сферах, таких як банкінг, шопінг, охорона здоров’я та соціальні медіа. Додатки, такі як Paytm, Flipkart і різні медичні додатки, використовують VA для того, щоб зробити сервіси більш доступними та інтерактивними. Однак VA збирають багато особистої інформації, такої як місцезнаходження, сімейна інформація, фінансова інформація, іноді навіть інформація про здоров'я, уподобання тощо. Порушення цих даних може створити серйозні ризики для конфіденційності та безпеки [2].

2. Віртуальні асистенти в повсякденних додатках

2.1 Додатки для здоров’я та фітнесу

Додатки для здоров'я та фітнесу, такі як Google Fit і Apple Health, є популярними інструментами, які допомагають людям досягати своїх фітнес-цілей. Ці додатки використовують віртуальних асистентів (VA), які дають м'які нагадування про вправи, пиття води або відстеження щоденних показників здоров'я. За допомогою зворотного зв'язку щодо таких показників, як пульс, калорії та фізична активність, ці додатки допомагають користувачам підтримувати здорові звички. Однак, через надмірне збирання особистих даних, таких як пульс, шаблони сну та реальне місцезнаходження, існує ризик, що ця інформація буде зловживана. Наприклад, компанії можуть аналізувати дані про здоров'я людини для того, щоб зробити висновки про її спосіб життя, що може бути використано для створення "профілю" користувача [3]. Злочинці можуть відстежувати людину за її місцезнаходженням і атакувати, коли вона буде ослаблена або втомлена.
Якщо хакери отримають доступ до конфіденційної інформації про здоров’я, деталі щодо фізичного та психічного стану людей можуть бути розкриті, що спричинить збентеження, дискримінацію або фінансові втрати [4].

2.2 Банкінг і фінанси

Віртуальні асистенти (VA) революціонізували банківську справу, спрощуючи перевірку балансу рахунків, здійснення платежів і управління фінансами — усе це лише за допомогою голосових команд в додатку. Наприклад, в Індії банки, такі як HDFC, використовують “Eva”, а Державний банк Індії має “YONO”. Ці віртуальні асистенти популярні, оскільки вони забезпечують швидкий і зручний доступ до банківських послуг. Однак використання VA в банківській справі має серйозні ризики безпеки. Оскільки ці додатки часто зберігають конфіденційну інформацію користувачів, існує ризик, що хакери або несанкціоновані користувачі можуть отримати доступ до рахунків, спробувати викрасти гроші або навіть використати фішингові тактики для обману користувачів з метою отримання особистої інформації [5, 6].

2.3 Електронна комерція і покупки

Amazon, Flipkart, Big Basket і JioMart вже додали голосових асистентів у свої додатки. Шопінг-асистент Amazon на базі ШІ Rufus допомагає клієнтам у виборі товарів, порівнянні, відстеженні доставки тощо. Понад 1 крор клієнтів використовують цих VA, щоб спростити процес покупок і витрачати менше часу. Ці додатки керують та зберігають історію переглядів і персональну інформацію, наприклад, платіжні дані (наприклад, номери кредитних карток). Ця інформація допомагає додатку надавати кращі рекомендації, але її можуть витікати до конкуруючих компаній або навіть на даркнет. Часто хакери, яких підтримують держави, використовують легітимні додатки або браузери для початкового проникнення та виконання шкідливих завдань [7].

2.4 Соціальні мережі та месенджери

На платформах соціальних мереж, таких як Facebook і WhatsApp, віртуальні асистенти, як-от Meta AI, спрощують відправлення повідомлень, публікацію оновлень та отримання інформації про новини. Користувачі можуть швидко зв’язуватися з друзями та сім’єю та залишатися в курсі останніх подій. Однак соціальні мережі збирають велику кількість особистої інформації користувачів, наприклад, їхнє місцезнаходження, вподобання та інтереси, що у разі витоку може призвести до ризиків конфіденційності та безпеки [9]. Розглянемо кілька прикладів:

• Профілювання: Соціальні мережі можуть створити детальний профіль користувача на основі його активності, вподобань, взаємодій і поширень, що може бути використано для створення фейкового профілю.
• Спостереження: Іноді додатки відстежують активність користувачів на інших сайтах або додатках, щоб дізнатися більше про користувача для реклами чи рекомендацій продуктів. Цю інформацію можуть використати досвідчені хакери.

3. Основні переваги віртуальних асистентів, що збільшують їх використання

• Ефективність та економія часу: VA допомагають користувачам виконувати завдання, як-от відправлення повідомлень або встановлення нагадувань без використання рук, що заощаджує час.
• Доступність: Для людей з обмеженими можливостями VA дозволяють виконувати важливі завдання за допомогою голосових команд, роблячи технології більш інклюзивними.
• Персоналізований досвід: VA вивчають уподобання користувачів, пропонуючи рекомендації, нагадування та сповіщення, адаптовані до індивідуальних потреб.

4. Основні ризики конфіденційності

4.1 Постійне прослуховування та збір даних

Більшість VA постійно слухають активаційні слова, що означає, що вони можуть випадково записувати приватні розмови. Це викликає питання про те, наскільки VA повинні пасивно слухати і як це може вплинути на конфіденційність користувачів [10]. Крім випадкових записів, дані, зібрані під час цих взаємодій, часто передаються на сервери компаній для обробки. Ці передачі не завжди безпечні, що робить їх вразливими до кібератак, таких як підслуховування. Хакери можуть використовувати це, щоб прослуховувати приватні розмови та викрадати конфіденційні дані, якщо ці лінії зв’язку недостатньо зашифровані [16]. Функція постійного прослуховування створює додаткові проблеми конфіденційності понад випадкові записи. Навіть коли асистент не використовується активно, пристрій все одно може слухати і зберігати конфіденційну інформацію.
Ці записи часто зберігаються протягом тривалого часу, причому компанії, такі як Apple, зберігають дані до 18 місяців. Така політика збереження підвищує ризик того, що приватні розмови можуть бути доступні або неправомірно використані несанкціонованими особами.

4.2 Зберігання даних і доступ третіх осіб

VA часто зберігають дані на хмарних серверах, до яких можуть мати доступ треті особи для бізнесових цілей. Багато з цих хмарних серверів розташовані в інших країнах, де закони про конфіденційність можуть бути слабшими, ніж в Індії. Відсутність єдиних міжнародних стандартів конфіденційності робить дані користувачів більш вразливими до хакерських атак чи зловживань. Це підкреслює важливість введення в Індії законів про локалізацію даних для того, щоб чутлива інформація зберігалася в країні безпечно [11, 17].

4.3 Потенціал для відстеження поведінки

VA відстежують поведінку користувача, зазначаючи вподобання та звички для таргетованої реклами або інших методів профілювання. Це викликає питання, хто володіє цими даними і чи дійсно користувачі погоджуються поділитися ними.

4.4 Відстеження місцезнаходження і вразливість до хакерських атак

Багато VA використовують дані про місцезнаходження для навігації, що може поставити користувачів під фізичний ризик. Це підкреслює необхідність надійної практики обробки даних.

5. Основні ризики безпеки для користувачів

5.1 Захоплення акаунтів і несанкціоновані транзакції

Хакери можуть потенційно захопити VA та здійснити несанкціоновані зміни, такі як автоматичний переказ грошей у банківських додатках.

5.2 Уразливості через ін'єкцію команд

Ін'єкція команд відбувається, коли VA обманюють на виконання непередбачених дій через фонові звуки або хитро сформульовані команди, які схожі на команди користувача. Це може призвести до шкідливих дій з боку користувача [16], і навіть дозволити зловмисникам здійснювати покупки, змінювати налаштування пристроїв або навіть підключених пристроїв без відома користувача [17].

5.3 Загрози від шкідливих програм і шпигунських програм

Інтеграції від сторонніх розробників, хоч і додають функціональність, підвищують ризик атак шкідливих програм або шпигунських програм. Зловмисники часто намагаються атакувати організації, компрометуючи вразливі пристрої користувачів через шкідливі програми або шпигунські програми.

6. Приклади реальних інцидентів

6.1 Записи Amazon Echo, надіслані незнайомцям (2018)

• Інцидент: У 2018 році пристрій Amazon Echo випадково записав приватну розмову пари з Портленда, штат Орегон. Запис був надісланий випадковому контакту в списку контактів пари без їхньої згоди. Інцидент стався, тому що Alexa неправильно інтерпретувала розмову як команду і надіслала аудіо випадковій особі [13].
• Вплив: Цей інцидент викликав побоювання щодо конфіденційності пристроїв з голосовими активаціями. Amazon заявила, що помилка сталася через серію непорозумінь фраз, які Alexa сприйняла як команди.
• Джерело: The Independent (Джерело має бути у форматі посилання)

6.2 Google Home розкриває приватні аудіозаписи (2019)

• Інцидент: У 2019 році стало відомо, що пристрої Google Home записували приватні розмови, зокрема ті, про які користувачі навіть не знали. Ці записи потім були транскрибовані підрядниками для цілей контролю якості. Витік даних був виявлений, коли бельгійська радіостанція з’ясувала, що Google випадково надіслала аудіофайли розмов користувачів підрядникам [14].
• Вплив: Ця проблема викликала побоювання щодо обробки приватних даних і призвела до ширшої дискусії про практики конфіденційності даних технологічних компаній.
• Джерело: BBC News (Джерело має бути у форматі посилання)

6.3. Siri від Apple слухає розмови користувачів (2019)

• Інцидент: Apple опинилася під пильним наглядом, коли стало відомо, що деякі розмови користувачів за допомогою голосового асистента Siri записувалися і переглядалися підрядниками. Підрядники були призначені для аналізу записів, щоб покращити розпізнавання голосу Siri.
  Однак це включало чутливі та приватні розмови, багато з яких були записані без відома чи згоди користувачів [15].
• Вплив: Apple вибачилася і припинила цю практику. Вони внесли зміни в процес, зокрема, переконавшись, що користувачі повинні погодитися на перегляд записів.
• Джерело: Engadget. (Джерело має бути у форматі посилання)

7. Віртуальні помічники в індійському контексті

Ринок смартфонів в Індії швидко розвивається, і VA відіграють важливу роль, особливо в містах. Люди в таких містах, як Мумбаї та Бенгалуру, часто використовують VA для таких завдань, як навігація, платежі та доступ до інформації, що робить VA необхідними в їхніх повсякденних рутинах. Однак залишаються певні проблеми:

• Локалізація даних: Закон Індії вимагає, щоб чутливі дані користувачів зберігалися в Індії, але багато VA зберігають дані на глобальних серверах, що ставить під питання відповідність закону.
• Мовні бар’єри: Більшість VA розроблені для англійської мови, що може бути обмеженням у країні з великою кількістю регіональних мов. Це робить VA менш ефективними для деяких користувачів.

Важливо навчити користувачів безпечному використанню VA, щоб вони могли контролювати свої налаштування конфіденційності та обмін даними.

8. Можливі способи зниження ризиків

• Додатки для здоров’я та фітнесу повинні мати сильні політики конфіденційності та чіткі правила щодо того, як збираються, зберігаються та передаються дані.
• Банки та фінансові установи повинні мати сильну багатофакторну автентифікацію (MFA) та навчати користувачів питанням безпеки в банківських додатках, а також давати поради, як безпечно ними користуватися.
• Додатки для електронної комерції повинні забезпечувати безпечні способи оплати (наприклад, використовуючи захищені сервери та шифрування), мати чіткі політики щодо обробки даних користувачів і надавати користувачам контроль над тим, які дані вони хочуть поділитися.
• Користувачі повинні знати налаштування, як запобігти збору певних персональних і чутливих даних додатками. Користувачі також повинні регулярно перевіряти дозволи додатків і видаляти ті, що більше не потрібні.
• Варто перевірити і налаштувати параметри конфіденційності в мобільних додатках для соціальних мереж та повідомлень. Це може включати в себе вибір, хто може бачити пости, відмову від поділу місцезнаходження та обмеження контактів. Керуючи цими налаштуваннями, користувач може мати більше контролю над тим, хто бачить яку інформацію та захистити персональні дані від зловживань.
• Також варто уникати використання VA в публічних або приватних місцях, таких як Google Siri, щоб чутлива інформація не була почута ворогами.

9. Висновок

Важливо дотримуватись кількох простих кроків для захисту конфіденційності та безпеки при використанні віртуальних помічників, які працюють на базі ШІ. Однак лише індивідуальні дії не є достатніми, і необхідні також сильні політики та настанови, що поважають конфіденційність і безпеку громадян. Збалансований підхід дозволяє реалізувати переваги віртуальних помічників без ризику для персональних даних. Таким чином, віртуальні помічники можуть залишатися корисними інструментами без компромісів у конфіденційності чи безпеці користувачів.

Посилання:

1. Joshi, R., Impact of AI in the Tourism Industry: A Double-Edged Sword. In Technology and Luxury Hospitality (pp. 135–150). Routledge.
2. Zohuri, B., 2023. Parental Use of Personal Digital Assistants A Double-Edged Sword for Toddlers. J Psych and Neuroche Res 1 (3), 01, 6.
3. Yin, M., Jiang, S. and Niu, X., 2024. Can AI really help? The double-edged sword effect of AI assistant on employees’ innovation behavior. Computers in Human Behavior, 150, p.107987.
4. Imtiaz, Q., Altaf, M., Berlan, R.P., Lee, M.D., Ahmad, S. and Salman, H., 2024. Artificial Intelligence: A Double-Edged Sword For The Education And Environment Of The Global Market. Educational Administration: Theory and Practice, 30(6), pp.3181–3193.
5. Chen, J.J. and Lin, J.C., 2024. Artificial intelligence as a double-edged sword: Wielding the POWER principles to maximize its positive effects and minimize its negative effects. Contemporary Issues in Early Childhood, 25(1), pp.146–153.
6. Leite, H., Hodgkinson, I.R., Volochtchuk, A.V.L. and Nascimento, T.C., 2024.
   ‘Це не бабай’: як технологія голосових помічників долає цифровий розрив для людей похилого віку. Technovation, 136, p.103080.
7. DOTMUG: модель загроз для цільових APT атак – зловживання Google Teachable Machine
8. Wilkens, U., 2020. Штучний інтелект на робочому місці – двосічний меч. The International Journal of Information and Learning Technology, 37(5), pp.253–265.
9. Liang, X., Guo, G., Shu, L., Gong, Q. і Luo, P., 2022. Дослідження ефекту двосічного меча обізнаності про ШІ на інноваційну поведінку працівників у сфері обслуговування. Tourism Management, 92, p.104564.
10. Park, H.E., 2024. Двосічний меч генеративного штучного інтелекту в цифровізації: перспектива можливостей і обмежень. Psychology & Marketing, 41(11), pp.2924–2941.
11. Kim, S.D., Andreeva, G. і Rovatsos, M., 2023. Двосічний меч великих даних і інформаційних технологій для уразливих: попередження з відкритого банкінгу. arXiv preprint arXiv:2307.13408.
12. Smith, R. (2018). Amazon Echo випадково записав приватну розмову та надіслав її випадковому контакту. The Independent.
13. Google Home відкрив приватні аудіозаписи (2019): BBC News. “Google Home відкрив приватні аудіозаписи.” BBC News, 2019
14. Engadget. (2019). “Apple призупиняє оцінку Siri після того, як підрядники почули чутливі розмови.” Engadget.
15. Das, R. (2017). Віртуальний особистий помічник та його проблеми безпеки. Infosec Institute.
16. Chappell, N. (2024). Кейс-стаді: Віртуальні помічники. Mono Software.

Перекладено з: Virtual Assistants: A Double-Edged Sword in the Age of Smart Technology