Prihlasujete sa k vášmu bankovému účtu hlasom? Už ani tento spôsob autentifikácie nie je bezpečný
Výskumníci vyvinuli softvér, pomocou ktorého vedia vytvoriť vierohodný hlas obete, ktorý slúži na autentifikáciu, napríklad pri prihlasovaní sa do banky.
V súčasnosti trendom v online bezpečnosti je využívanie rôznych vrstiev zabezpečenia. Ak hovoríme o bankách, tak časť z nich tlačí na to, aby sme overovali svoju identitu pomocou hlasu. Je to pohodlné a efektívne. No vyzerá to tak, že podľa vedcov z University of Waterloo, tento spôsob zabezpečenia účtu, nie je tak bezpečný, ako sa na prvý pohľad môže zdať.
Unikátny hlasový odtlačok sa dá vierohodne napodobniť
Hlasová autentifikácia umožňuje spoločnostiam overiť, že na druhej strane linky je skutočne klient a nie podvodník. Je to možné vďaka unikátnemu hlasovému odtlačku.
„Pri registrácii do hlasovej autentifikácie budete požiadaní, aby ste zopakovali určitú frázu vlastným hlasom. Systém potom z tejto poskytnutej frázy extrahuje jedinečný hlasový podpis (hlasový odtlačok) a uloží ho na server,..“, vysvetľuje Andre Kassis ako hlasová autentifikácia funguje. „Pri budúcich autentifikačných pokusoch vás požiadajú, aby ste zopakovali inú frázu a extrahované vlastnosti z vzorky sa porovnajú s hlasovou stopou, ktorú ste uložili v systéme, aby sa určilo, či by sa mal povoliť prístup.“, doplňuje.
Tento koncept sa zdá byť ako dokonalé riešenie, no nie je. Hackeri si krátko na to uvedomili, že môžu použiť deepfake technológiu s podporou strojového učenia, pomocou ktorej naučia stroj napodobniť hlas za účelom, aby tento spôsob autentifikácie obišli. Jeden z takýchto nedávnych hackov si môžete pozrieť aj nižšie vo videu, kedy sa novinárovi menom Joseph Cox podarilo obísť pomocou vygenerované hlasu systémy banky Lloyds Bank.
New: we proved it could be done. I used an AI replica of my voice to break into my bank account. The AI tricked the bank into thinking it was talking to me. Could access my balances, transactions, etc. Shatters the idea that voice biometrics are foolproof https://t.co/YO6m8DIpqR pic.twitter.com/hsjHaKqu2E
— Joseph Cox (@josephfcox) February 23, 2023
Existujúce spoofingové opatrenia sú nedostatočné
V reakcii na to, vývojári bezpečnostných systémov vytvorili spoofingové protiopatrenia kontroly, ktoré preskúmavajú, či bola hlasová vzorka vytvorená človekom alebo strojom. Opäť sa zdalo, že sme o krok vpredu pred útočníkmi. No nie je tomu tak.
Neprehliadni
Výskumníci z Waterloo hovoria, že vyvinuté protiopatrenia nie sú dostatočné. Podarilo sa im totiž vyvinúť metódu, ktorá sa vyhýba opatreniam odhaľujúcím falšovanie hlasu väčšiny autentifikačných systémov. Identifikovali značky v hlboko falošnom zvuku, ktoré prezrádzajú, že je generovaný počítačom, a napísali program, ktorý tieto značky odstráni, vďaka čomu je na nerozoznanie od autentického zvuku.
Vedci hovoria, že zatiaľ čo úspešnosť pri prvom pokuse o obídenie takéhoto systému zabezpečenia je pri jednom 4-sekundovom útoku „len“ 10%, tak pri 30-sekundovom útoku, miera úspešnosti je už 40%. No čo je najviac znepokojúce je, že pri niektorých systémoch dosiahli pri šiestom pokuse o obídenie zabezpečenia úspešnosť 99%.
Výskumníci preto došli k záveru, že hoci hlasová autentifikácia je lepšia ako žiadne zabezpečenie, no existujúce protiopatrenia proti spoofingu sú vo svojej podstate chybné.
„Jediný spôsob, ako vytvoriť bezpečný systém, je myslieť ako útočník. Ak to neurobíte, potom len čakáte na napadnutie,“ povedal Kassis.
Výskumníci veria, že spoločnosti, ktoré sa spoliehajú len na tento spôsob autentifikácie, by mali nateraz zvážiť, či nezaviesť aj ďalšiu vrstvu ochrany, aby predišli zneužitiu technológií, pomocou ktorých možno obísť overenie hlasom.
Komentáre