Избягвайте гласовата авторизация – ще бъде хакната в 99% от случаите
Системите за гласово засвидетелствуване стават все по-популярни като сигурен метод за инспекция на самоличността на човек. Въпреки това, ново изследване на учените от университета Ватерло сподели, че тези системи може да не са толкоз безвредни, колкото се считат. Нападателите могат да хакнат такава система с 99% възможност. Ще им трябват единствено шест опита, с цел да го създадат.
Гласовата идентификация — това е биометрична автентификация, която употребява гласа на човек, с цел да удостовери неговата идентичност. Решението работи, анализирайки неповторимите характерности на гласа на човек, като височина и акцент, с цел да сътвори гласов отпечатък. Той се съпоставя със съхранен преди този момент референтен гласов отпечатък, с цел да се дефинира дали лицето е това, за което се показва.
Андре Касис, докторант по компютърна сигурност и дискретност, водещ създател на проучването, споделя: „ Когато се регистрирате за гласово засвидетелствуване, от вас се желае да повторите избрана фраза с гласа си. След това системата извлича неповторим гласов автограф (гласов отпечатък) от тази предоставена фраза и го съхранява на сървъра. За бъдещи позволения ще бъдете помолени да повторите друга фраза и функционалностите, извлечени от нея, ще бъдат съпоставени с към този момент съхранения гласов отпечатък, с цел да се дефинира дали би трябвало да бъде възложен достъп “.
Проучването по отношение на надеждността на гласовата отбрана, извършено от компютърните учени на университета Ватерло се организира благодарение на способ, който заобикаля лъжливите контрамерки и може да заблуди множеството системи за гласово засвидетелствуване в границите на шест опита. Този способ включва генериране на конкуриращи се аудио-образци, предопределени да заблудят системата за гласово различаване.
Изследователите са тествали метода си върху 18 комерсиални решения за гласово засвидетелствуване. Тестваните системи включват такива, употребявани от банки, марки кредитни карти и гласови асистенти. Например, пробата за гласово засвидетелствуване Amazon Connet е посочил 10% успеваемост на офанзивата за 4 секунди. За по-малко от 30 секунди обаче успеваемостта се е нараснала до 40%, а след шест опита е достигнала 99%.
Учените от университета Ватерло не са единствените, които са провели сходно проучване. Pindrop Research Group организира сходно изследване и резултатите не са прекомерно надалеч от горните изказвания. Pindrop е компания за ИТ-сигурност, профилирана в гласовата автентификация.
Изследването на Pindrop преглежда слабостите на системите за гласово засвидетелствуване по отношение на въпросите, основани на познания. Проучването проучва данни за повече от 500 милиона позвънявания до контактни центрове в Съединени американски щати и Европа. Установено е, че хакерите са съумели да предадат основаните на познания въпроси за засвидетелствуване в 92 % от случаите. Това значи, че хакерите са съумели да отговорят на въпроси като ‘Какво е моминското име на майка ви?’ вярно в 92 % от случаите. Това е проблем, защото въпросите за засвидетелствуване, основани на познания, нормално се употребяват при гласовото различаване.
