Системы голосовой аутентификации становятся все более популярными как безопасный способ проверить личность человека. Однако новое исследование компьютерных ученых из Университета им. Ватерлоо показало, что эти системы могут быть не столь безопасны, как о них думали. Злоумышленники могут хакнуть такую ??систему с 99% вероятностью. Для этого им понадобится всего шесть попыток.
Аутентификация по голосу – это биометрическая идентификация, использующая голос человека для проверки его личности. Решение работает путем анализа уникальных черт голоса человека, таких как высота, тон и упор, чтобы создать отражение голоса. Текущий отпечаток голоса сравнивается с сохраненным эталонным оттиском голоса, чтобы определить, является ли это лицо тем, за кого себя выдает.
Андре Кассис, аспирант компьютерной безопасности и конфиденциальности и ведущий автор исследования, сказал: «При регистрации в голосовой аутентификации вас просят повторить фразу своим голосом. Затем система извлекает уникальную голосовую подпись (голосовой отпечаток) из данной фразы и сохраняет ее на сервере. Для будущей авторизации вас попросят повторить другую фразу, а функции, полученные из нее, сравниваются с уже сохраненным голосовым оттиском, чтобы определить, нужно ли предоставлять доступ».
Исследование надежности голосовой защиты учёные по информатике Университета им. Ватерлоо провели с помощью метода, позволяющего избежать контрмер подделки и может обмануть большинство голосовых систем аутентификации в течение шести попыток.Этот метод предполагает генерацию соревновательных образцов аудио, предназначенных для обмана системы авторизации по голосу.
Исследователи проверили свой метод на 18 коммерческих решениях голосовой аутентификации. Проверенные системы включали системы, используемые банками, брендами кредитных карт и голосовыми помощниками. К примеру, тест на голосовую аутентификацию Amazon Connet показал 10% успеваемости атаки за 4 секунды. Однако менее чем за 30 секунд показатель успеха вырос до 40%, а после шести попыток достиг 99%.
Ученые университета Ватерлоо не единственные, кто проводил подобные исследования. Исследовательская группа Pindrop провела подобное исследование, и результаты не очень далеки от вышеприведенных утверждений. Pindrop — компания по ИТ-безопасности, специализирующаяся на голосовой аутентификации.
Исследование Pindrop рассматривало слабость вопросов, основанных на знаниях, выражающих системы голосовой аутентификации. Исследование проанализировало данные о более чем 500 миллионах звонков в контакт-центры в США и Европе. Было обнаружено, что хакеры могли передавать вопросы аутентификации на основе знаний в 92 процентах случаев. Это значит, что хакеры смогли ответить на такие вопросы, как «Какова девичья фамилия вашей матери?» правильно в 92 процентах случаев. Это вызывает беспокойство, поскольку вопросы аутентификации на основе знаний обычно используются в голосовой аутентификации.
