Системи голосової автентифікації стають дедалі популярнішими як безпечний спосіб перевірити особу людини. Однак нове дослідження комп’ютерних науковців з Університету ім. Ватерлоо показало, що ці системи можуть бути не такими безпечними, як про них думали. Зловмисники можуть хакнути таку систему з 99% ймовірністю. Для цього їм знадобиться лише шість спроб.
Аутентифікація по голосу – це біометрична ідентифікація, який використовує голос людини для перевірки її особи. Рішення працює шляхом аналізу унікальних рис голосу людини, таких як висота, тон і акцент, щоб створити відбиток голосу. Поточний відбиток голосу порівнюється зі збереженим еталонним відбитком голосу, щоб визначити, чи є ця особа тим, за кого себе видає.
Андре Кассіс, аспірант комп’ютерної безпеки та конфіденційності та провідний автор дослідження, сказав: «При реєстрації в голосовій аутентифікації вас просять повторити певну фразу своїм голосом. Потім система витягує унікальний голосовий підпис (голосовий відбиток) із цієї наданої фрази та зберігає його на сервері. Для майбутньої авторизації вас попросять повторити іншу фразу, а функції, отримані з неї, порівнюються з уже збереженим голосовим відбитком, щоб визначити, чи потрібно надавати доступ».
Дослідження надійності голосового захисту вчені з інформатики Університету ім. Ватерлоо провели за допомогою методу, який дозволяє уникнути контрзаходів підробки та може обдурити більшість голосових систем аутентифікації протягом шести спроб. Цей метод передбачає генерацію змагальних зразків аудіо, призначених для обману системи авторизації по голосу.
Дослідники перевірили свій метод на 18 комерційних рішеннях голосової аутентифікації. Перевірені системи включали системи, які використовуються банками, брендами кредитних карток і голосовими помічниками. Наприклад, тест на голосову автентифікацію Amazon Connet показав 10% успішності атаки за 4 секунди. Однак менш ніж за 30 секунд показник успіху зріс до 40%, а після шести спроб досяг 99%.
Вчені університету Ватерлоо не єдині, хто проводив такі дослідження. Дослідницька група Pindrop провела подібне дослідження, і результати не дуже далекі від наведених вище тверджень. Pindrop — компанія з ІТ-безпеки, яка спеціалізується на голосовій автентифікації.
Дослідження Pindrop розглядало слабкість запитань, заснованих на знаннях, які висловлюють системи голосової автентифікації. Дослідження проаналізувало дані про понад 500 мільйонів дзвінків до контакт-центрів у США та Європі. Було виявлено, що хакери могли передавати запитання автентифікації на основі знань у 92 відсотках випадків. Це означає, що хакери змогли відповісти на такі запитання, як «Яке дівоче прізвище вашої матері?» правильно в 92 відсотках випадків. Це викликає занепокоєння, оскільки питання автентифікації на основі знань зазвичай використовуються в голосовій автентифікації.
