Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

Старший брат следит за тобой. Как защитить себя в цифровом мире

КЕЙС В 2018 г. из-за ошибки в программном обеспечении компания Amazon отослала постороннему человеку архив с 1700 голосовыми запросами одного из пользователей ASR-сервиса (голосового помощника) Alexa. В их числе были запросы, отправленные на цифровой музыкальный сервис Spotify; вызовы такси; команды, отданные будильнику, и т. д. Используя эту информацию, можно установить род занятий пользователя, его имя (в сочетании с данными из социальных сетей), а также личности его знакомых[1138].

Использование ASR-систем удобно, но сопряжено с рядом опасностей. Так, злоумышленники могут получить несанкционированный доступ к ней, чтобы перехватить голосовую информацию и (или) захватить управление этой системой. Разработчик ASR-системы или лицо, имеющее несанкционированный доступ к ней (т. е. к трафику – если при его передаче используются слабые алгоритмы шифрования или он передается в незашифрованном виде), может анализировать голосовые запросы и содержащиеся в них важные для пользователя персональные данные. Приказывая системе набрать телефонный номер, пользователь дает ей сведения о своих контактах. Поисковые запросы и история посещения сайтов содержат данные об интересах пользователя, вопросы о погоде в определенной локации или о маршруте до определенной точки – информацию о его местонахождении.

Перехватываться могут не только сами команды, но и все, что произносится около устройства. ASR-система реагирует на определенные голосовые команды (ключевые слова), например «Окей, Google», и записывает сказанное после них, передавая записанные данные на сторонние серверы. Система не вычленяет инструкцию сразу, т. е. не прерывает запись после окончания команды, а записывает до ближайшей паузы определенной длительности в речи человека. Весь записанный текст, как команда, так и все сказанное после нее, передается на сервер для анализа речи и обработки команды.

Другая уязвимость – это возможность реагирования ASR-систем на команды, скрытые в рекламе или музыке. С помощью таких команд можно осуществлять несанкционированные действия, например совершать покупки в магазине приложений, зачитывать вслух сообщения или уведомления, публиковать посты в соцсетях и управлять устройствами «умного» дома[1139].

Существует еще одна опасность: злоумышленник может покупать в поисковой системе рекламу, указывая в ней телефонные номера, якобы принадлежащие какой-либо крупной компании, и постоянно продвигать свои объявления на верхние позиции в поисковой выдаче. Атака оказывается эффективной, если пользователь просит голосового помощника найти номер интересующей его компании и позвонить по нему. ASR-система обращается к поисковой системе и набирает попавший на верхнюю позицию в списке результатов поиска телефонный номер мошенника. В результате устройство дозванивается ему по этому номеру, он представляется сотрудником компании и ведет дальнейшую атаку, например запрашивает у пользователя его банковские реквизиты с целью кражи денежных средств. Аналогичным образом пользователь может быть перенаправлен на поддельный сайт компании (с фейковыми контактными и банковскими данными), если запросит адрес сайта, а искусственный интеллект откроет адрес, попавший на верхние позиции в списке результатов поиска. Во избежание таких ситуаций следует проверять результаты поиска, выданные по запросу ASR-системой, либо вручную переходить на нужный сайт и набирать номера телефонов исключительно из адресной книги[1140].

Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

Старший брат следит за тобой. Как защитить себя в цифровом мире

Похожие книги

Все жанры