Hvordan stemmeassistenter følger uhørbare kommandoer

Et angreb mod talegenkendelsessystemer med manipulerede lydfiler plejede kun at fungere via en datagrænseflade. Nu, alt det kræver er at afspille de hemmelige beskeder via højttalere.

Forskere kan skjule stemmekommandoer til maskiner, der ikke er hørbare for det menneskelige øre, i enhver lydfil. Talegenkendelsessystemer forstår disse kommandoer udmærket. I september 2018, forskere fra Horst Görtz Instituttet for IT-sikkerhed ved Ruhr-Universität Bochum rapporterede sådanne angreb mod talegenkendelsessystemet Kaldi, som er integreret i Alexa. Oprindeligt, disse såkaldte kontradiktoriske eksempler kunne kun udføres via en datagrænseflade; i dag, de fungerer perfekt over luften. En detaljeret artikel om disse angreb og potentielle modforanstaltninger kan findes i Bochums videnskabsmagasin Rubin.

For at integrere hemmelige beskeder i lydfiler, forskerne udnytter den psykoakustiske model for hørelse. "Så længe øret er optaget af at behandle en lyd ved en bestemt frekvens, mennesker er ude af stand til at høre andre lyde ved lav lydstyrke i nogle få millisekunder, " forklarer Lea Schönherr fra forskningsgruppen Cognitive Signal Processing, ledet af professor Dorothea Kolossa. Disse frekvenser er, hvor forskere gemmer de hemmelige kommandoer til maskiner. Til det menneskelige øre, den yderligere information lyder som tilfældig statisk støj; men det ændrer betydningen af ​​beskeden for stemmeassistenten.

Tager rummet i betragtning

Oprindeligt, angrebet kunne kun udføres direkte via datagrænsefladen; i dag, højttalere duer. Det her er mere kompliceret, da lyden påvirkes af det rum, hvor filen afspilles. Derfor, når du opretter manipulerede lydfiler, Lea Schönherr tager den såkaldte rumimpulsrespons i betragtning. Den beskriver, hvordan et rum reflekterer og ændrer lyden. Rumimpulsresponser kan simuleres ved hjælp af dedikerede computerprogrammer.

"Angrebet kan skræddersyes til et specifikt rumopsætning, hvor det spilles, " uddyber kommunikationsingeniøren. "Men, vi har for nylig udført et generisk angreb, som ikke behøver nogen forudgående information om rummet, men fungerer stadig lige godt eller endnu bedre over luften." I fremtiden, forskerne planlægger at køre test med stemmeassistenter, der er tilgængelige på markedet.

At lukke sikkerhedshullet

Da talegenkendelsessystemer i øjeblikket ikke er implementeret i nogen sikkerhedskritiske applikationer, men hovedsageligt bruges for nemheds skyld, modstridende eksempler kan endnu ikke gøre meget skade. Derfor, der er stadig tid til at lukke dette sikkerhedshul, ifølge forskerne fra Bochum. I Cluster of Excellence Casa, forkortelse for Cyber ​​Security in the Age of Large-Scale Adversaries, forskergruppen Kognitiv Signalbehandling, som udviklede angrebene, samarbejder med formanden for Systemsikkerhed under ledelse af professor Thorsten Holz, hvis team designer modforanstaltningerne.

MP3-princippet som modtræk

IT-sikkerhedsforsker Thorsten Eisenhofer har til hensigt at lære talegenkendelsessystemet at eliminere alle rækkevidder i lydsignalerne, der er uhørbare for mennesker, og kun at høre resten. "Vi kan ikke forhindre, at lydfiler bliver manipuleret af angribere, " siger han. Hans mål er snarere at tvinge en angriber til at placere manipulationen i hørbare områder; således, angreb kunne ikke længere let skjules. Eisenhofer anvender MP3-princippet til dette formål.

MP3-filer komprimeres ved at slette alle områder, der er uhørbare for mennesker - og det er det, forsvarsstrategien mod modstridende eksempler sigter mod. Følgelig, Eisenhofer kombinerede Kaldi med en MP3-encoder, der rydder op i lydfilerne, før de når talegenkendelsessystemet. Testene har vist, at Kaldi faktisk ikke længere forstod de hemmelige beskeder, medmindre de blev flyttet ind i det menneskelige høreområde. "På dette tidspunkt, lydfilerne blev ændret betydeligt, " forklarer Thorsten Eisenhofer. "Det statiske, hvori de hemmelige kommandoer er gemt, kunne tydeligt høres."