Активируемые голосом цифровые помощники Amazon Echo, Microsoft Cortana или Apple Siri разработаны для облегчения пользователям доступа к различного рода сервисам и услугам. Все они так или иначе разнообразили быт владельцев — Echo принимает голосовые команды в виде автономных колонок, Cortana делает это тогда, когда они находятся за компьютером, Siri — если возникает необходимость «пообщаться» с помощником по смартфону. Несмотря на то, что голосовые ассистенты выводят уровень коммуникаций между человеком и машиной на новый уровень, они все же представляют серьезную угрозу, превращая его в легкую добычу для хакеров.
Как пишет портал eWeek, в конце этого месяца пройдет конференция Black Hat, в рамках которой эксперты в области безопасности, а также энтузиасты собираются продемонстрировать уязвимости голосовых ассистентов. Так, команда из четырех человек, включающая исследователей из Израильского технологического института и бывшего главного технического специалиста ИБ-фирмы Imperva, собирается показать, как с их помощью можно обойти экран блокировки на компьютерах с Windows 10, а также на других устройствах. Тал Беери, один из членов этой команды, заявил, что для этих целей они применили уязвимость под названием «Сезам, откройся», но обход экрана блокировки — это лишь малая часть тех возможностей, которые открывают хакерам «умные» ассистенты. Он говорит, что специалисты разработали логику атаки, которая не только позволяет получить доступ к заблокированному компьютеру, но и заразить его вирусом.
«Вне всяких сомнений, голосовой интерфейс является привлекательной идеей, но он не одинаково безопасен на всех видах устройств. Взять хотя бы корпоративное окружение. Передавая голосовым интерфейсам ряд функций, выполняемых ПК, у вас не будет уверенности, что вы сделали правильный выбор архитектурного решения», — сказал он. По его словам, обход блокировки экрана в Windows 10 возможен только тогда, когда пользователь или разработчик отдает в настройках помощника приоритет удобству его применения «из коробки», игнорируя риски безопасности.
Встраиваемые в телефоны или компьютеры цифровые ассистенты быстро набирают популярность, поскольку предлагают комфортное вербальное средство общения с пользователем без задействования клавиатуры или иных физических интерфейсов. Однако одновременно начали вскрывать их технические изъяны.
К примеру, в прошлом году американка Меган Найтцел получила на дом посылку с большим кукольным домиком за 170 долл. и почти два килограмма печенья. Выяснилось, что заказ случайно сделала ее шестилетняя дочь — она просто попросила у Alexa кукольный домик и печенье, а ассистент решил, что это была команда на покупку. А уже в мае этого года Amazon Echo записала личный разговор американской семьи и отправила аудиосообщение с ним человеку из контактной книги пользователя системы. Адресат оказался сослуживцем главы семьи, он весьма удивился полученной записи и решил, что колонку его коллеги взломали хакеры.
Такие инциденты подчеркивают, что голосовые ассистенты лишены множества слоев и схем, которые обеспечивают безопасность традиционным устройствам, не говоря уже о том, что они являются эхолокаторами, днем и ночью улавливающими малейшие звуковые колебания. С одной стороны, они всегда готовы отвечать на голосовые команды, но с другой — представляют угрозу конфиденциальности.
Исследователи выделяют пять основных путей, которые потенциально могут открыть доступ хакерам к голосовым помощникам.
1. Подставные/скрытые аудиокоманды
При изучении проблем безопасности систем ИИ и машинного обучения исследователи обращаются к помощи так называемых состязательных атак (adversarial attacks), внося небольшие целенаправленные изменения в картинку, которые не видимы человеческому глазу, но вынуждают систему машинного обучения распознавать совершенно другое изображение. Ученые уже смоделировали алгоритмы, которые сбивают зрение беспилотных автомобилей, роботов, мультикоптеров и любых других роботизированных систем, которые пытаются ориентироваться в окружающем пространстве.
Техника состязательных атак является предметом изучения в Калифорнийском университете. В проведенном здесь исследовании описывается схема обмана систем распознавания речи, основанных на машинном обучении. Исследователи предложили внедрять в аудиозаписи голоса небольшие изменения, которые на 99,9% соответствуют оригиналу записи, но полностью меняют его содержание. Более того, разработанная ими техника предусматривает применение скрытых команд.
Пока что созданная учеными схема применяется только на определенных устройствах и с соблюдением ряда условий, но они считают, что массированные атаки с применением подставных изображений и скрытых команд — не за горами. Им пока не удалось взломать голосовые ассистенты «по воздуху», но не исключено, что в будущем это удастся.
2. Машины воспринимают звуковые частоты, которые не слышит человек
Запрятанные внутри аудиофайлов команды — не единственное средство манипулирования голосовыми помощниками. В 2017 г. группа исследователей из Университета Чжэцзян изобрела технику атак при помощи ультразвука — они не слышны человеку, но зато их чутко улавливает ИИ. Как выяснилось, при помощи звуковых команд можно принудить Siri совершать звонки или предпринимать другие неконтролируемые действия.
Авторы назвали новый тип уязвимости DolphinAttack, но для ее реализации потребуются несколько деталей, которые, впрочем, можно приобрести в любом радиомагазине. Собранное учеными устройство может управлять «умной» колонкой при помощи ультразвука с частотой свыше 20 кГц, который ПО для микрофонов игнорирует, но технически продолжает принимать.
Вооруженный техникой DolphinAttack хакер может вынудить голосового помощника зайти на вредоносный сайт, шпионить за пользователем, вводить фальшивую информацию и даже проводить DDOS-атаки, заявили исследователи.
3. Голосовые ассистенты никогда не спят
Находясь в ожидании, голосовой помощник не предпринимает никаких действий, но это не значит, что он не работает. Как и мобильные телефоны, домашние ассистенты — это датчики, которые впитывают информацию о владельце и его привычках. Известно, что такая информация представляет ценность для рекламодателей, поэтому производители «умных» колонок и другой подобного рода техники, которые хранят информацию о пользователях на своих удаленных серверах, могут стать идеальной целью для злоумышленников.
«Эти устройства задуманы таким образом, что их невозможно отключить — они должны постоянно слушать. Как только вы произнесли какую-то фразу или ключевое слово, они сразу же начинают собирать данные и отправлять их в облако. По сути, это вынужденная архитектурная уязвимость голосовых машин, которую вы приютили у себя в доме», — сказал Беери. Стоит также упомянуть, что ассистенты непреднамеренно раскрывают индивидуальность владельца и без хакерских атак. Это продемонстрировал пример с записью голосового сообщения, когда система ошибочно восприняла случайные слова в разговоре как команду на отправку конкретному адресату.
4. Хакеры могут применять голосовых помощников для обхода защиты других устройств
Многие хакеры применяют для взлома целевых устройств типа телефонов или компьютеров кодовую базу или ее части. По словам Беери, технология голосового взаимодействия расширяет «площадь атаки» в случае, когда владелец устройства понижает уровень его защиты, чтобы обеспечить себе более комфортные условия его применения.
5. Может ли телевизор отдавать голосовые команды?
Хакеры уже не первый год проникают на устройства пользователей через уязвимости в прошивках роутеров или незащищенные беспроводные сети. Голосовые помощники предоставляют еще один вектор атаки, поскольку они могут принимать скрытые команды на выполнение с телевизора, автомобильного радио или других аудиоустройств.
Погоня производителей голосовых колонок и других подобного рода устройств за прибылью, желание продать как можно больше гаджетов на волне интереса к новинке, идет вразрез с интересами пользователей, которые часто не понимают, что в один момент могут превратиться в мишени для хакеров. Производителям нужно уделять больше внимания защите «умных» гаджетов, советуют эксперты. К примеру, они рекомендуют устанавливать на них голосовые фильтры, которые реагируют только на определенный голос. Понимая, что большинство защитных средств поставит под сомнение комфорт использования голосовых ассистентов, они советуют производителям применять их только в определенных случаях, например, при покупке предметов или совершении транзакций.