0
0
Cientistas da computação da Universidade de Waterloo descobriram um método de ataque que pode contornar com sucesso os sistemas de segurança de autenticação de voz com uma taxa de sucesso de até 99% após apenas seis tentativas.
Especialistas expõem falhas na tecnologia de impressão de voz
A autenticação de voz – que permite que as empresas verifiquem a identidade de seus clientes por meio de uma suposta “impressão de voz” exclusiva – tem sido cada vez mais usada em serviços bancários remotos, call centers e outros cenários críticos de segurança.
“Ao se inscrever na autenticação de voz, você é solicitado a repetir uma determinada frase em sua própria voz. O sistema então extrai uma assinatura vocal única (impressão de voz) dessa frase fornecida e a armazena em um servidor”, disse Andre Kassis, doutorando em Segurança e Privacidade da Computação e principal autor de um estudo detalhando a pesquisa.
“Para futuras tentativas de autenticação, você é solicitado a repetir uma frase diferente e os recursos extraídos dela são comparados com a impressão de voz que você salvou no sistema para determinar se o acesso deve ser concedido.”
Depois que o conceito de impressões de voz foi introduzido, atores mal-intencionados rapidamente perceberam que poderiam usar um software “deepfake” habilitado para aprendizado de máquina para gerar cópias convincentes da voz de uma vítima usando apenas cinco minutos de áudio gravado.
Em resposta, os desenvolvedores introduziram “contramedidas de falsificação” – verificações que poderiam examinar uma amostra de fala e determinar se ela foi criada por um humano ou uma máquina.
Insegurança de autenticação de voz
Os pesquisadores de Waterloo desenvolveram um método que evita contramedidas de falsificação e pode enganar a maioria dos sistemas de autenticação de voz em seis tentativas. Eles identificaram os marcadores no áudio deepfake que o traem é gerado por computador e escreveram um programa que remove esses marcadores, tornando-o indistinguível do áudio autêntico.
Em um teste recente contra o sistema de autenticação de voz do Amazon Connect, eles alcançaram uma taxa de sucesso de 10% em um ataque de quatro segundos, com essa taxa subindo para mais de 40% em menos de trinta segundos. Com alguns dos sistemas de autenticação de voz menos sofisticados que eles visaram, eles alcançaram uma taxa de sucesso de 99% após seis tentativas.
Kassis afirma que, embora a autenticação de voz seja obviamente melhor do que nenhuma segurança adicional, as contramedidas de falsificação existentes são criticamente falhas.
“A única maneira de criar um sistema seguro é pensar como um invasor. Se você não fizer isso, então você está apenas esperando para ser atacado”, disse Kassis.
O supervisor de Kassis, o professor de ciência da computação Urs Hengartner, acrescentou: “Ao demonstrar a insegurança da autenticação de voz, esperamos que as empresas que confiam na autenticação de voz como seu único fator de autenticação considerem a implantação de medidas de autenticação adicionais ou mais fortes”.
FONTE: HELPNET SECURITY