Перейти к содержанию

«Говорите помедленнее, мы записываем»: чем опасны голосовые помощники


Рекомендуемые сообщения

В поговорке про стены, у которых есть уши, осталась метафора, но больше нет ни грамма преувеличения.

«Он ловил каждое слово, если его произносили не слишком тихим шепотом … Конечно, никто не знал, наблюдают за ним в данную минуту или нет,» — так Джордж Оруэлл в романе «1984» описал слежку Большого Брата за людьми в их собственных квартирах с помощью неотключаемых телескринов.

voice-threats-featured.jpg

А что если через телескрин следит не только Большой Брат, но и вообще все, кто смог к вашему телескрину подключиться? А если вдобавок к политической пропаганде через телескрин льется индивидуально подобранная реклама? Представьте: посетовал домочадцам на головную боль — получил рекламу нужных пилюль. Это картинка уже не из вымышленной антиутопии, а из реального мира, с легкими штрихами футуризма, который уже в ближайшем будущем имеет все шансы стать обыденностью.

Потенциальные телескрины, которыми мы сами себя окружили, постоянно совершенствуются, а новые веяния — голосовые помощники — явно привнесут новые угрозы.

Виртуальные помощники могут «жить» в смартфонах, планшетах и компьютерах (как Apple Siri) или в стационарных устройствах (таких как аудиоколонки Amazon Echo и Google Home). Круг их возможностей постоянно увеличивается: можно управлять воспроизведением музыки, узнавать погоду, регулировать температуру в доме, заказывать товары в интернет-магазинах…

Как вездесущие микрофоны могут навредить нам? Утечка личных и корпоративных тайн в руки недоброжелателей — это понятно. Но вот, навскидку, и более конкретная, легко монетизируемая угроза. Проговариваете ли вы вслух цифры полученного в SMS кода авторизации или реквизиты банковских карт, когда заполняете онлайн-формы? То-то же.

Шансов, что ваш разговор не будет услышан и оцифрован, современные технологии не оставляют. Умные колонки, например, «слышат» издалека в шумной обстановке, даже при играющей музыке. Да и говорить как-то особенно четко необязательно: по нашим наблюдениям, обыкновенный помощник Google в планшете иногда лучше родителей понимает произношение трехлетнего ребенка.

Вот несколько курьезных, но одновременно тревожных историй, одними из главных действующих лиц в которых стали голосовые помощники.

Восстание колонок

Фантасты давно грезят о машинах, с которыми можно поговорить, но реальная жизнь порой подкидывает сюжеты, которые нарочно не придумаешь.

Занятную историю рассказал телеканал CW6 (Сан-Диего): в новостном выпуске CW6 в январе был показан сюжет об угрозах со стороны устройства Amazon Echo с виртуальной помощницей Alexa на борту.

В частности, упоминалось неумение системы различать людей по голосу, из-за чего Alexa выполняет команды всех, кто находится поблизости (странная недоработка, не правда ли?). Как результат — незапланированные покупки в интернет-магазине через Echo порой совершают дети, ведь для них это не сильно отличается от того, чтобы попросить у мамы конфетку.

Комментируя сюжет ведущий новостей отметил: «Мне понравилась девочка, сказавшая: «Alexa заказала мне кукольный домик».

Как только эта фраза попала в эфир, зрители в Сан-Диего стали жаловаться… на самопроизвольные заказы кукольных домиков, сделанные их домашним помощником. Alexa восприняла фразу из телевизора как команду и поспешила ее исполнить.

Пострадавшим от «восстания машин» клиентам Amazon пообещала бесплатно отменить заказы.

Гаджеты под присягой

Гаджеты, как известно, часто выступают в ипостаси свидетеля, а наличие «слуха» значительно повышает их ценность для правоохранителей. Интригующая детективная история с участием «умных» устройств разворачивается в штате Арканзас.

В 2015 году четверо мужчин устроили в доме одного из них вечеринку с просмотром футбольного матча, алкоголем и джакузи. Утром следующего дня хозяин нашел безжизненное тело одного из своих гостей в наполненной ванне. В причастности к гибели мужчины следователи заподозрили хозяина дома, поскольку согласно показаниям свидетелей, два других гостя покинули вечеринку до инцидента.

Детективы отметили обилие «умных» устройств в доме: тут и системы освещения и сигнализации, и метеостанция, и главная героиня нашей сегодняшней истории — колонка Amazon Echo.

У нее детективы и попытались «выведать» детали произошедшего. Самым полезным для расследования было бы, конечно, получить звуковые записи, сделанные в ночь убийства. Первым делом детективы запросили у Amazon информацию, которую Echo передает на ее серверы. Однако компания, согласно документам дела, эту просьбу не удовлетворила.

Впрочем, ценность Echo как свидетеля, детективы, пожалуй, переоценили, предположив, что устройство записывает звук постоянно. На деле же, как уверяют разработчики, запись голосовой команды и передача ее на сервер происходит лишь после того, как произносится имя Alexa.

К слову, сервер Amazon команды пользователя не только распознает и передает обратно Echo для выполнения, но и сохраняет на неопределенный срок. Как заверяет Amazon, делается это исключительно для повышения качества обслуживания клиентов. Впрочем, сохраненные записи пользователь может удалить в настройках своей учетной записи.

Виртуальные помощники в кино

(Внимание, спойлеры!)
Современная массовая культура тоже с подозрением поглядывает на виртуальных помощников.
В фильме «Пассажиры» бармен-андроид Артур выдал тайну разоткровенничавшегося главного героя Джима Престона, уронив его в глазах возлюбленной попутчицы.
А в фильме «Почему он?» домашняя голосовая помощница Джастин выдала главного героя Неда Флеминга, подслушав его телефонный разговор.

Не получив данных от Amazon, детективы сумели извлечь некоторые данные из самой колонки Echo. Правда, какие именно это были данные и помогли ли они следствию — не известно.

Как бы то ни было, «умный дом» все же повлиял на расследование. Детективы приобщили к делу показания… водопроводного счетчика.

В ночь убийства был зафиксировано большое потребление воды — более 500 литров. Согласно же почасовой статистике счетчика, этот расход пришелся на часы после смерти потерпевшего, когда хозяин дома, по его словам, уже спал. Следователи выдвинули версию, что вода использовалась для удаления следов крови. А противоречие между данными счетчика и показаниями обвиняемого сыграло в итоге против последнего.

Законность применения такого рода доказательств без судебного ордера была оспорена защитой подсудимого, но безрезультатно.

Кстати, похоже, нестыковка есть и в самих данных счетчика. В злополучный вечер, когда вся компания была в сборе, расход воды не превышал 40 литров в час. Непонятно, как в таком случае удалось набрать джакузи. Сам подсудимый в интервью сайту StopSmartMeters.org (да, это сайт противников «умных» счетчиков) предположил, что на счетчике было неправильно установлено время.

Судебный процесс по делу пройдет в этом году.

Автомобиль как средство прослушки

Об интересных случаях использования электронных устройств против их владельцев поведал сайт Forbes.com.

В 2001 году Федеральное бюро расследований США, заручившись разрешением суда Невады, обратилось к компании ATX Technologies за содействием в перехвате разговоров в интересующем спецслужбу частном автомобиле. Дело в том, что компания ATX Technologies – разработчик и оператор вспомогательных автомобильных систем, которые, в частности, позволяют автолюбителю запросить помощь в случае дорожного происшествия.

Как следует из судебных документов, компания запрос удовлетворила. К сожалению, технические подробности перехвата опубликованы не были, кроме разве что требования ФБР касательно того, что процедура прослушки должна минимально влиять на «услуги, предоставляемые лицу или лицам, чьи переговоры подлежат перехвату».

Впрочем, специфика услуг ATX Technologies позволяет предположить, что прослушка осуществлялась через линию экстренной связи, а микрофон в машине активировался удаленно.

Еще одна похожая история произошла в 2007 году в Луизиане. И снова в центре событий оказалась прослушка салона автомобиля через экстренную связь службы OnStar. Правда, на сей раз кнопку вызова службы спасения, скорее всего, случайно нажал водитель или пассажир автомобиля.

Диспетчер службы OnStar ответила на вызов, но, не получив ответа, оповестила об инциденте полицию (координаты автомобиля оператор, конечно, тоже видит в реальном времени).

Вновь попытавшись пообщаться с «потерпевшими», диспетчер услышала их разговор, подозрительно похожий на заключение наркосделки. Диспетчер дала послушать беседу офицеру полиции, а тот уведомил коллег, которые остановили машину и нашли в ней марихуану.

Защита водителя настаивала на незаконности прослушки, но суд с этим не согласился, поскольку перехват разговора не был инициирован полицией. К слову, подозреваемый приобрел машину с рук лишь за пару месяцев до описываемых событий и поэтому мог даже не знать о «спасательной» функции автомобиля. В итоге он был признан виновным и понес предусмотренное законом наказание за оборот запрещенных веществ.

Как не оказаться в эфире

Как показала прошедшая в январе в Лас-Вегасе выставка CES 2017, виртуальные ассистенты будут интегрированы во все подряд — от автомобилей до холодильников. Новые возможности виртуальных помощников наверняка создадут новые риски приватности, информационной и даже физической безопасности пользователей.

Напоминать производителям о том, что при разработке таких систем аспекты безопасности – это первый приоритет, мы даже не будем. А конечным пользователям дадим следующие рекомендации.

  1. Колонки Amazon Echo и Google Home можно «лишить слуха», отключив микрофон с помощью соответствующей кнопки на устройстве. Недостаток способа: всегда придется держать в голове необходимость «обезвредить» помощника.
  2. Покупки через Echo можно или вовсе запретить, или защитить паролем в настройках учетной записи.
  3. Антивирусная защита компьютеров, планшетов и смартфонов уменьшает риск любых утечек, не позволяя злоумышленникам хозяйничать на вашем устройстве.
  4. Пользователям Amazon Echo, имя которых созвучно с именем Alexa, стоит поменять слово, на которое отзывается помощник. В противном случае любой разговор в присутствии электронного ассистента превратится в сущее мучение.
Вход там, где выход (вместо эпилога)

И вот, вы вроде бы обезопасились: заклеили камеры на ноутбуках, накрыли подушкой смартфон, убрали в коробку колонку Echo. Отключили все аудиогарнитуры, выпаяли все микрофоны в доме и говорите шепотом. У нас для вас плохие новости: вас все равно могут прослушать.

Об одном из способов рассказали в своей работе исследователи из университета Бен-Гуриона (Израиль), сопоставив известные, в общем-то, факты.

  1. По физической сути наушники (и пассивные колонки) — это микрофон наизнанку: подключенные к входу компьютера наушники вполне могут фиксировать звук.
  2. Некоторые звуковые чипы позволяют программно переназначать аудиоразъемы. Эта функция – вовсе не секрет, ее указывают в спецификациях системных плат.

В результате мирно лежащие на столе наушники, подключенные к своему «законному» выходу, могут втайне записывать звук и отправлять запись через Интернет. Проведенные исследователями эксперименты показали, что с помощью обыкновенных наушников можно записывать в приемлемом качестве разговор, происходящий на расстоянии в несколько метров. Этого более чем достаточно, поскольку наушники часто лежат на рабочем столе или вовсе висят на шее.

Для защиты от этой мало кем ожидаемой атаки можно использовать активные колонки вместо пассивных колонок и наушников: встроенный усилитель «не пропустит» звук в обратном направлении.



Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Начался новый учебный год, а значит, у школьников впереди новые знания, новые друзья и новые игры. Обычно после каникул дети глубже погружаются в кибермир — осенью уже не проведешь столько времени на улице вместе с друзьями и школьники объединяются в цифровом пространстве за любимыми играми.
      Но мир гейминга не такое дружелюбное пространство, каким хочет казаться на первый взгляд, и без киберзащиты в нем не обойтись. Нет, с самими играми все в порядке, но вокруг них почти всегда надоедливо крутятся мошенники, злоумышленники и киберпреступники.
      Эксперты «Лаборатории Касперского» провели исследование и выяснили, с какими играми сопряжено больше всего опасностей, каких игроков атакуют чаще и что с этим делать. В полной версии отчета (доступна на английском языке) вы можете найти ответы на эти и другие связанные вопросы.
      Minecraft — любимая игра киберпреступников
      Чтобы получить представление о текущем ландшафте игровых рисков для юных игроков, наши эксперты проанализировали статистику глобальной сети обмена сведениями об угрозах — Kaspersky Security Network (KSN). Там собраны анонимные данные о киберугрозах, которые мы получаем в деперсонализированном виде от наших клиентов на добровольной основе.
      Для исследования мы отобрали самые популярные детские игры и выяснили, что Minecraft, Roblox, Among Us и Brawl Stars — неизменная четверка лидеров по количеству атак с июля 2023 года до июля 2024-го.
      Название игры Количество попыток атак Minecraft 3 094 057 Roblox 1 649 745 Among Us 945 571 Brawl Stars 309 554 Five Nights at Freddy’s 219 033 Fortnite 165 859 Angry Birds 66 754 The Legend of Zelda 33 774 Toca Life World 28 360 Valorant 28 119 Mario Kart 14 682 Subway Surfers 14 254 Overwatch 2 9076 Animal Crossing 8262 Apex Legends 8133  
      View the full article
    • rechiflis
      От rechiflis
      помогите пожалуйста, находит ли именно бесплатный касперский free ратники или вирусы ещё сильнее по вредоносности, заранее спасибо всем, кто ответит
    • KL FC Bot
      От KL FC Bot
      В мае 2024 года Microsoft представила новую функцию для Windows 11 под названием Recall. Она позволяет «вспоминать» все, что делал пользователь на компьютере за последние месяцы. Можно задавать в поисковой строке самые общие вопросы вроде «фото красного авто, которое мне присылали» или «какой корейский ресторан советовали» — и получать ответы в виде ссылок на приложение, сайт, документ в паре с картинкой-миниатюрой, на которой запечатлен… экран компьютера в момент, когда пользователь смотрел на предмет запроса!
      Recall позволяет вспомнить все, что вы делали за компьютером в последние месяцы. Возможно, даже то, что вы предпочли бы не вспоминать. Источник
      Чтобы реализовать чудо-поиск, новый сервис Microsoft будет делать скриншоты всего экрана каждые несколько секунд и сохранять их в папке на компьютере. Затем все эти изображения анализируются искусственным интеллектом в фоновом режиме, из скриншотов извлекается вся информация и помещается в базу данных, по которой при помощи ИИ-ассистента ведется умный поиск.
      Несмотря на то что все операции проводятся локально, на компьютере пользователя, Recall сразу после анонса вызвал тревогу у многих специалистов по информационной безопасности — эта функция создает слишком много рисков. Начальная реализация Recall была практически не зашифрована и доступна любому пользователю компьютера. Под давлением ИБ-сообщества Microsoft объявила о внесении доработок в Recall еще до выпуска публичной версии, который отложили с 18 июня ориентировочно до конца осени 2024 года. Тем не менее даже с обещанными улучшениями функция остается неоднозначной.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Число ежегодно обнаруживаемых уязвимостей в ПО неуклонно растет и уже приближается к круглой цифре 30 000. Но команде ИБ важно выявить именно те уязвимости, которыми злоумышленники реально пользуются. Изменения в топе «самых популярных» уязвимостей серьезно влияют на приоритеты установки обновлений или принятия компенсирующих мер. Поэтому мы регулярно отслеживаем эту динамику, и вот какие выводы можно сделать из отчета об эксплойтах и уязвимостях за I квартал 2024 года.
      Растет критичность и доступность уязвимостей
      Благодаря bug bounty и автоматизации, масштабы охоты за уязвимостями значительно выросли. Это приводит к тому, что уязвимости обнаруживаются чаще, а там, где исследователям удалось найти интересную поверхность атаки, следом за первой выявленной уязвимостью нередко обнаруживаются целые серии других, как мы это видели недавно с решениями Ivanti. 2023 год стал рекордным за 5 лет по числу найденных критических уязвимостей. Одновременно растет и доступность уязвимостей широкому кругу атакующих и защитников — для более чем 12% обнаруженных уязвимостей оперативно появился публично доступный код, демонстрирующий возможность эксплуатации (proof of concept, PoC). В первом квартале 2024 года доля критических уязвимостей также остается высокой.
       
      Посмотреть статью полностью
    • Alhena
      От Alhena
      Добрый день. Столкнулась с проблемой покупки с глобального сайта. При заполнении данных и переходе к стадии оплаты (до ввода карты), антивирус выдает окно: остановлена загрузка опасного обьекта 
      Обнаружено:
      02.05.2024 11:24:13
      Веб-адрес:
      https://rubyredtoys.com/en/order
      Причина:
      объект заражен
      Приложение:
      HEUR:Trojan-PSW.Script.Generic
       
      Сайт официальный, производителя Руби ред https://rubyredtoys.com/en/. Вряд ли на официальном сайте троян. Можно проверить информацию и посоветовать, что делать и стоит ли покупать там? Многие пользуются, о проблемах такого рода с покупками никто не писал(((
       
×
×
  • Создать...