Los investigadores de la Universidad de Alabama en Birmingham han descubierto que la verificación automatizada y humana de los sistemas de autenticación de usuarios basados en voz son vulnerables a los ataques de suplantación de voz. Esta nueva investigación se presentará en el Simposio Europeo sobre Investigación en Seguridad Informática, o ESORICS, hoy enViena, Austria.
Utilizando una herramienta de transformación de voz lista para usar, los investigadores desarrollaron un ataque de suplantación de voz para intentar penetrar en sistemas de verificación humanos y automatizados.
La voz de una persona es una parte integral de la vida diaria. Permite a las personas comunicarse en proximidad física, así como en ubicaciones remotas usando teléfonos o radios, o por Internet usando medios digitales.
"Debido a que las personas confían en el uso de sus voces todo el tiempo, se convierte en una práctica cómoda", dijo Nitesh Saxena, Ph.D., director del laboratorio de Seguridad y Privacidad en Sistemas Emergentes de Computación y Redes SPIES yprofesor asociado de informática y ciencias de la información en la UAB. "Lo que pueden no darse cuenta es que ese nivel de comodidad se presta para hacer que la voz sea una mercancía vulnerable. Las personas a menudo dejan huellas de sus voces en muchos escenarios diferentes. Pueden hablar en voz alta mientras socializanen restaurantes, hacer presentaciones públicas o hacer llamadas telefónicas, o dejar muestras de voz en línea "
Una persona con intenciones potencialmente maliciosas puede grabar la voz de una persona estando cerca del hablante, haciendo una llamada de spam, buscando y extrayendo clips audiovisuales en línea o incluso comprometiendo servidores en la nube que almacenan información de audio.
Este estudio de investigadores del Departamento de Ciencias de la Computación e Información de la UAB y el Centro de Aseguramiento de la Información e Investigación Forense Conjunta explora cómo un atacante en posesión de muestras de audio de la voz de una víctima podría comprometer la seguridad, seguridad yintimidad.
Los avances tecnológicos, específicamente aquellos que automatizan la síntesis de voz, como la transformación de la voz, permiten a un atacante construir un modelo muy cercano de la voz de la víctima a partir de un número limitado de muestras. La transformación de la voz se puede utilizar para transformar la voz del atacante para hablar cualquiermensaje arbitrario en la voz de la víctima.
"Como resultado, solo unos minutos de audio en la voz de la víctima conduciría a la clonación de la voz de la víctima", dijo Saxena. "Las consecuencias de tal clon pueden ser graves. Porque la voz es una característicaexclusivo de cada persona, forma la base de la autenticación de la persona, dando al atacante las claves de la privacidad de esa persona ".
Como estudio de caso para este artículo, los investigadores investigaron las secuelas del robo de voces en dos aplicaciones y contextos importantes que dependen de las voces como base para la autenticación.
La primera aplicación es un sistema de verificación de voz o biometría de voz que utiliza las características potencialmente únicas de la voz de un individuo para autenticar a ese individuo.
"La biometría de voz es la nueva palabra de moda entre los bancos y las compañías de tarjetas de crédito", dijo Saxena. "Muchos bancos y compañías de tarjetas de crédito se esfuerzan por brindar a sus usuarios una experiencia sin problemas al usar sus servicios en términos de acceso a sus cuentas usando la vozbiometría "
La tecnología ahora también se ha implementado en teléfonos inteligentes como reemplazo de los bloqueos PIN tradicionales, y se está utilizando en muchas organizaciones gubernamentales para construir el control de acceso.
La biometría de la voz se basa en la suposición de que cada persona tiene una voz única que depende no solo de sus características fisiológicas de las cuerdas vocales, sino también de la forma de su cuerpo y de la forma en que se forma y articula el sonido.
Una vez que el atacante derrota la biometría de voz usando voces falsas, podría obtener acceso sin restricciones al sistema, que puede ser un dispositivo o un servicio, empleando la funcionalidad de autenticación.
En segundo lugar, el equipo de investigación analizó las implicaciones que el robo de voces tenía en las comunicaciones humanas como su otra aplicación para el estudio de caso del periódico. La herramienta de transformación de voz imitó a dos celebridades famosas, Oprah Winfrey y Morgan Freeman, en un ambiente de estudio controlado.
Si un atacante puede imitar la voz de una víctima, la seguridad de las conversaciones remotas podría verse comprometida. El atacante podría hacer que el sistema de transformación diga literalmente todo lo que el atacante quiera, en el tono y estilo de hablar de la víctima, y pueda lanzar un ataqueeso puede dañar la reputación de la víctima, su seguridad y la seguridad de las personas que la rodean.
"Por ejemplo, el atacante podría publicar las muestras de voz transformadas en Internet, dejar mensajes de voz falsos a los contactos de la víctima, potencialmente crear pruebas de audio falsas en el tribunal e incluso hacerse pasar por la víctima en conversaciones telefónicas en tiempo real con alguien que sea la víctimasabe ", dijo Saxena." Las posibilidades son infinitas ".
Los resultados muestran que los algoritmos de verificación automatizados de última generación fueron en gran medida ineficaces para los ataques desarrollados por el equipo de investigación. La tasa promedio de rechazo de voces falsas fue de menos del 10 al 20 por ciento para la mayoría de las víctimas. Incluso la verificación humanaera vulnerable a los ataques. Según dos estudios en línea con alrededor de 100 usuarios, los investigadores descubrieron que los participantes del estudio rechazaron las muestras de voz transformadas de celebridades, así como usuarios algo familiares, la mitad del tiempo.
"Nuestra investigación mostró que la conversión de voz representa una seria amenaza, y nuestros ataques pueden ser exitosos para la mayoría de los casos", dijo Saxena. "Lo preocupante es que los ataques contra la verificación de hablantes basados en humanos pueden ser más efectivos en el futuro porque la vozla calidad de conversión / síntesis continuará mejorando, mientras que se puede decir con seguridad que la capacidad humana probablemente no ".
Si bien los resultados de este estudio muestran cuán vulnerable puede ser una persona a los ataques de voz, hay formas de evitar que le roben la voz. Saxena sugiere que las personas aumenten su conciencia de la posibilidad de estos ataques, y también que desconfíen depublicar clips de audio de sus voces en línea.
"En última instancia, la mejor defensa de todas sería el desarrollo de sistemas de verificación de altavoces que puedan resistir completamente los ataques de imitación de voz al probar la presencia en vivo de un altavoz", dijo Saxena. "Nuestra investigación futura examinará esta y otras estrategias de defensa."
Los estudiantes de posgrado de la UAB Dibya Mukhopadhyay y Maliheh Shirvanian, investigadores del Laboratorio SPIES de la UAB, fueron coautores del artículo con Saxena.
Fuente de la historia :
Materiales proporcionado por Universidad de Alabama en Birmingham . Original escrito por Katherine Shonesy. Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :