De la prima achiziție a unui Google Nest am început să mă întreb dacă și cum mă pot proteja de un atacator care îmi poate înregistra vocea pentru ca apoi să o foloseasc altfel decât aș fi vrut eu (voice spoofing). Problema nu se oprește doar la Nest, ci e aplicată la toate device-urile ce folosesc un personal voice assistant.
VOID – voice liveness detection
De curând am aflat că cei de la Data61 (o companie australiană de data science research) au dezvoltat o nouă tehnică ce poate proteja utilizatorii de atacuri voice spoofing. Soluția se numește VOID (voice liveness detection), poate fi integrată în software-ul unui smartphone sau în cel al asistentului voce și are capacitatea de a analiza diferențele între o voce umană autentică și o voce umană redată printr-un difuzor.
Soluția este utilă celor care folosesc asistenții pentru cumpărături online, inițierea apelurilor telefonice, trimiterea de mesaje text, controlul echipamentelor smart home sau chiar pentru accesul la servicii bancare.
Voice spoofing este cunoscut ca fiind un atac foarte ușor de executat deoarece e nevoie doar de înregistrarea vocii victimei. În schimb este destul de greu de detectat: vocea înregistrată are caracteristici similare cu cea autentică.
Cum funcționează VOID?
Spre deosebire de soluțiile deja existente pe piață care folosesc modele de deep learning, pentru a detecta autenticitatea vocii, VOID se bazează pe spectrograme, care sunt practic o reprezentare grafică a spectrului de frecvențe pe care îl are un semnal audio într-un timp definit.
Dezvoltatorii susțin că rezultatul acestei tehnici este foarte precis, are capabilitatea de a detecta atacurile de 8 ori mai rapid decât metodele ce folosesc deep learning și folosește de 153 de ori mai puțină memorie, ceea ce permite integrarea lui în software-ul unor device-uri smart.
Cum protejăm datele când folosim un personal voice assistant?
Pe lângă soluțiile de protecție clasice pe care le putem instala pe device-urile folosite, la fel de important este să fim atenți cum și în ce condiții folosim asistenții personali. Redau mai jos câteva sfaturi:
- Ca regulă generală, setați asistentul în așa fel încât acesta să se activeze doar printr-o acțiune fizică (apăsarea unui buton);
- Pe device-urile mobile, setați asistentul în așa fel încât acesta să poată fi activat doar dacă dispozitivul este deblocat;
- Un atac de voice spoofing presupune ca atacatorul să obțină o mostră a vocii victimei. De aceea este important să ștergeți periodic datele legate de vocea dumneavoastră stocate de Google, Apple sau Amazon;
- Limitați pe cât posibil folosirea asistenților la tranzacții online.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.