Un attacco contro i sistemi di riconoscimento vocale con file audio manipolati funzionava solo tramite un'interfaccia dati. Ora, basta riprodurre i messaggi segreti tramite altoparlanti.

I ricercatori possono nascondere comandi vocali per macchine che non sono udibili dall'orecchio umano in qualsiasi file audio. I sistemi di riconoscimento vocale comprendono perfettamente questi comandi. A settembre 2018, ricercatori dell'Horst Görtz Institute for IT Security presso la Ruhr-Universität Bochum hanno riferito di tali attacchi contro il sistema di riconoscimento vocale Kaldi, che è integrato in Alexa. Originariamente, quei cosiddetti esempi contraddittori potrebbero essere eseguiti solo tramite un'interfaccia dati; oggi, funzionano perfettamente via etere. Un articolo dettagliato su tali attacchi e potenziali contromisure può essere trovato nella rivista scientifica di Bochum Rubin.

Per integrare i messaggi segreti nei file audio, i ricercatori sfruttano il modello psicoacustico dell'udito. "Finché l'orecchio è impegnato nell'elaborazione di un suono a una frequenza specifica, gli esseri umani non sono in grado di ascoltare altri suoni a basso volume per pochi millisecondi, " spiega Lea Schönherr del gruppo di ricerca Cognitive Signal Processing, diretto dalla professoressa Dorothea Kolossa. Queste frequenze sono dove i ricercatori nascondono i comandi segreti per le macchine. All'orecchio umano, le informazioni aggiuntive suonano come rumore statico casuale; ma cambia il significato del messaggio per l'assistente vocale.

Prendendo in considerazione la stanza

Originariamente, l'attacco poteva essere eseguito solo direttamente tramite l'interfaccia dati; oggi, gli altoparlanti andranno bene. Questo è più complicato, poiché il suono è influenzato dalla stanza in cui viene riprodotto il file. Di conseguenza, durante la creazione di file audio manipolati, Lea Schönherr prende in considerazione la cosiddetta risposta all'impulso della stanza. Descrive come una stanza riflette e modifica il suono. Le risposte all'impulso della stanza possono essere simulate utilizzando programmi informatici dedicati.

"L'attacco può essere adattato a una configurazione specifica della stanza in cui viene riprodotto, ", elabora l'ingegnere della comunicazione. "Tuttavia, abbiamo recentemente eseguito un attacco generico, che non necessita di alcuna informazione preventiva sulla camera, ma funziona ugualmente bene o anche meglio via etere." In futuro, i ricercatori stanno pianificando di eseguire test con assistenti vocali disponibili sul mercato.

Colmare il divario di sicurezza

Poiché i sistemi di riconoscimento vocale non sono attualmente implementati in applicazioni critiche per la sicurezza, ma sono utilizzati principalmente per comodità, gli esempi contraddittori non possono ancora fare molti danni. Perciò, c'è ancora tempo per colmare questa lacuna di sicurezza, secondo i ricercatori di Bochum. Nel Cluster di Eccellenza Casa, abbreviazione di Cyber ​​Security nell'era degli avversari su larga scala, il gruppo di ricerca Cognitive Signal Processing, che ha sviluppato gli attacchi, collabora con la Cattedra di System Security presieduta dal Professor Thorsten Holz, il cui team sta progettando le contromisure.

Principio MP3 come contromisura

Il ricercatore di sicurezza IT Thorsten Eisenhofer intende insegnare al sistema di riconoscimento vocale ad eliminare qualsiasi intervallo nei segnali audio che non è udibile dall'uomo e ad ascoltare solo il resto. "Non possiamo impedire che i file audio vengano manipolati da aggressori, ", dice. Il suo obiettivo è piuttosto costringere un attaccante a posizionare la manipolazione in intervalli udibili; quindi, gli attacchi non potevano più essere facilmente nascosti. Eisenhofer utilizza a tale scopo il principio MP3.

I file MP3 vengono compressi eliminando qualsiasi intervallo non udibile dall'uomo, e questo è ciò a cui mira la strategia di difesa contro gli esempi contraddittori. Di conseguenza, Eisenhofer ha combinato Kaldi con un codificatore MP3 che ripulisce i file audio prima che raggiungano il sistema di riconoscimento vocale. I test hanno dimostrato che Kaldi in effetti non capiva più i messaggi segreti, a meno che non siano stati spostati nel raggio dell'udito umano. "A questo punto, i file audio sono stati notevolmente modificati, " spiega Thorsten Eisenhofer. "Lo statico in cui sono nascosti i comandi segreti potrebbe essere sentito distintamente."