01/03/2017

Zagrożenia ze strony asystentów głosowych

Prywatność Technologie

Nadeszły czasy, gdy przysłowie „ściany mają uszy” może już nie być metaforą.

„Teleekran służył równocześnie za odbiornik i nadajnik, dostatecznie czuły, żeby wychwycić każdy dźwięk głośniejszy od zniżonego szeptu… Nikt oczywiście nie wiedział, czy w danym momencie jest obserwowany” — to opis urządzeń szpiegujących należących do Wielkiego Brata w powieści George’a Orwella pt. „Rok 1984”.

Co by było, gdyby do teleekranu dostęp miał nie tylko Wielki Brat? Gdy podsłuchiwać mógłby każdy, kto posiada odpowiednie umiejętności? A gdyby ekran ten został użyty nie tylko do politycznej propagandy, lecz również do wyświetlania spersonalizowanych reklam? Na przykład mówisz, że boli Cię głowa, i w tej samej chwili wyświetlana jest reklama środka na ból głowy… To nie jest już wątek z powieści dystopijnej, to już niemal rzeczywistość — istnieje duża szansa na to, że wkrótce tak właśnie będzie.

W końcu otoczyliśmy się już pierwowzorami takich teleekranów, a ich nowe funkcje — takie jak asystent głosu — mogą bez wątpienia nieść ze sobą różne zagrożenia.

Wirtualni asystenci, tacy jak Apple Siri, są w smartfonach, tabletach i laptopach, a także w urządzeniach stacjonarnych, takich jak inteligentne głośniki Amazon Echo czy Google Home. Służą one do włączania i wyłączania głośników, sprawdzania prognozy pogody, zmiany temperatury w pokoju, kupowania w internecie itp.

Czy te czujne mikrofony mogą nam zaszkodzić? Niewątpliwie tak. Jako pierwszy przychodzi mi na myśl wyciek informacji osobistych i firmowych. Jednak cyberprzestępcom łatwiej jest uzyskać pieniądze w inny sposób: gdy wprowadzamy numery kart kredytowych i hasła jednorazowe w formularzach na różnych stronach.

Inteligentne głośniki mogą przechwycić głos nawet tam, gdzie nie jest jakoś szczególnie cicho, przeszkodą nie będzie nawet muzyka w tle. Aby zostać zrozumianym, nie trzeba mówić nienaturalnie wyraźnie: z mojego doświadczenia wynika, że asystent Google’a w popularnym tablecie z Androidem czasami lepiej rozumie 3-letnie dzieci niż ich rodziców.

Oto kilka historii, które mogą wydawać się zabawne, ale które powinny skłonić do przemyśleń. Wszystkie są związane z asystentami głosu i inteligentnymi gadżetami. Pisarze powieści fantastyczno-naukowych od dawna marzyli o urządzeniach, do których możemy mówić, ale nawet oni nie wyobrażali sobie, że taka będzie rzeczywistość.

Bunt głośników

W styczniu 2017 roku w San Diego, Kalifornia, stacja CW6 poinformowała o lukach w głośnikach Amazon Echo (zawierających wirtualnego asystenta, Alexa).

Jak wyjaśnił gość programu, system nie potrafi rozróżniać ludzi na podstawie głosu, co oznacza, że Alexa spełnia polecenia każdego, kto znajduje się w pobliżu. W efekcie dziecko może kupić coś w internecie, nie widząc różnicy pomiędzy poproszeniem rodziców o przekąskę a poproszeniem Alexa o zabawkę.

Jeden z gości powiedział na antenie: „Mnie spodobało się, gdy jedna dziewczynka powiedziała Alexa, zamówi mi domek dla lalek”. Nagle pojawiła się fala zgłoszeń: mieszkańcy San Diego informowali o spontanicznych zakupach domów dla lalek dokonanych przez ich asystentów głosowych. Okazało się, że Alexa usłyszał wypowiedziane w telewizji słowa i uznał je za polecenie, które szybko zrealizował.

Amazon zapewnił ofiary „buntu sztucznej inteligencji”, że mogą one anulować swoje zamówienie i nie muszą za nie płacić.

Gadżety zeznają pod przysięgą

Gadżety, które mogą słuchać, są cenne dla organów ścigania, ponieważ zazwyczaj mogą powtórzyć wszystko, co usłyszały. Poniżej historia, która miała miejsce w Arkansas w 2015 roku.

Czterech mężczyzn postanowiło zabalować. Oglądają mecze piłki nożnej, piją, relaksują się w jacuzzi — nic nadzwyczajnego. Następnego ranka właściciel domu odkrywa ciało jednego z gości w wannie. Szybko staje się podejrzanym numer jeden; pozostali goście twierdzą, że zanim opuścili imprezę, wszystko było w porządku.

Detektywi zauważyli, że w domu znajduje się wiele inteligentnych urządzeń: systemy oświetlenia i zabezpieczeń, stacja pogodowa — i Amazon Echo. Policja zdecydowała się wykorzystać szansę. Mając nadzieję, że nagrania głosu pozwolą ustalić, co zaszło feralnej nocy, policja poprosiła Amazona o udostępnienie danych, lecz firma rzekomo odmówiła.

Według programistów Amazona Echo nie nagrywa żadnych dźwięków, dopóki użytkownik nie wypowie domyślnie ustawionego słowa: Alexa. Wówczas polecenie jest przechowywane na serwerach firmowych przez określony czas. Amazon twierdzi, że przechowuje polecenia jedynie w celu polepszenia działania oferowanej funkcjonalności, a użytkownicy mogą ręcznie usunąć wszystkie nagrania w ustawieniach swojego konta.

Detektywi znaleźli inne urządzenia, z którego mogli uzyskać wskazówki. Wprowadzili do ewidencji dowodów… inteligentny wodomierz. Po śmierci ofiary we wczesnych godzinach porannych zużyto nietypową ilość wody. Właściciel domu twierdził, że w tym czasie spał. Śledczy podejrzewają, że woda została zużyta do wyczyszczenia krwi.

Warto zauważyć, że wskazania miernika wydawały się niedokładne. Poza bardzo dużym zużyciem wody w środku nocy wskazywał on, że zużycie wody nie przekroczyło 40 litrów na godzinę w dniu imprezy, ale nie napełnia się wanny z hydromasażem taką ilością. Oskarżony właściciel udzielił wywiadu serwisowi StopSmartMeters.org (tak, jest to strona utworzona przez przeciwników inteligentnych mierników): podejrzewał, że na liczniku był ustawiony niepoprawny czas.

Sprawa trafiła w tym roku do sądu.

Wirtualni asystenci w filmach
(Uwaga, spoiler!)
Współczesna kultura masowa także traktuje asystentów wirtualnych z podejrzeniem. Na przykład w filmie Pasażerowie barman-android Arthur ujawnia tajemnicę Jima Prestona i niszczy mu reputację na oczach jego towarzyszki, Aurory. Z kolei w filmie Dlaczego on? asystent głosowy Justine podsłuchuje rozmowy telefoniczne bohatera, Neda Fleminga, wydając jego tajemnicę.

Auto jako podsłuch

Forbes także poinformował o kilku interesujących przypadkach, w których urządzenia elektroniczne zostały użyte przeciwko ich właścicielom.

W 2001 roku FBI uzyskało zgodę sądu w Newadzie na uzyskanie wsparcia od firmy ATX Technologies w celu przechwycenia rozmowy odbywającej się w prywatnym samochodzie. ATX Technologies tworzy i zarządza systemami samochodowymi, które umożliwiają właścicielom aut wezwanie pomocy w przypadku wystąpienia zdarzenia drogowego.

Firma spełniła prośbę. Niestety nie ujawniono szczegółów technicznych, oprócz żądania FBI, aby cała operacja miała „minimalny wpływ” na jakość usług zapewnianych podejrzanemu. Całkiem możliwe, że podsłuch został przeprowadzony przy użyciu łącza awaryjnego, a mikrofon auta został włączony zdalnie.

Podobna historia miała miejsce w 2007 roku w stanie Luizjana. Kierowca lub pasażer auta przypadkowo nacisnął przycisk interwencyjny i wezwał pogotowie OnStar. Operator odebrał połączenie, ale ponieważ nie spotkał się z żadną reakcją, poinformował policję. Później ponownie spróbował złapać kontakt z możliwymi ofiarami i usłyszał rozmowę, która mogła dotyczyć sprzedaży narkotyków. Operator udostępnił tę rozmowę oficerowi policji i wskazał miejsce znajdowania się samochodu. W efekcie policja zatrzymała samochód, w którym odnalazła marihuanę.

Obrońca kierowcy próbował unieważnić ten dowód, twierdząc, że policja nie miała nakazu. Jednak sąd odrzucił ten argument, odpowiadając, że to nie policja zainicjowała podsłuch. Podejrzany kupił auto od poprzedniego właściciela kilka miesięcy przed incydentem i prawdopodobnie nie wiedział o tej funkcji. Ostatecznie został uznany za winnego.

Jak pozostać poza eterem

W styczniu podczas konferencji CES 2017 w Las Vegas niemal każdy zaprezentowany inteligentny przedmiot — od samochodów po lodówki — posiadał funkcję wirtualnego asystenta. Trend ten z pewnością przyniesie nowe zagrożenia dla naszej prywatności, bezpieczeństwa naszych danych, a nawet bezpieczeństwa fizycznego.

Każdy programista musi postawić sobie za priorytet bezpieczeństwo użytkownika. Z kolei użytkownikom podajemy kilka porad, dzięki którym można ochronić się przed uszami, które wszystko słyszą.

  1. W głośnikach Amazon Echo i Google wyłącz mikrofon przy użyciu przycisku fizycznego. Nie jest to zbyt wygodny sposób zapewnienia sobie prywatności — zawsze trzeba będzie pamiętać o tym, aby unieszkodliwić asystenta — ale to już jest coś.
  2. Skorzystaj z ustawień konta systemu Echo, aby zablokować zakupy lub ustawić ochronę hasłem.
  3. Na komputerach, tabletach i smartfonach zainstaluj ochronę antywirusową, aby zmniejszyć ryzyko wycieku danych i ataku cyberprzestępców.
  4. Jeśli ktoś w Twoim domu ma imię, które brzmi podobnie do „Alexa”, zmień słowo wybudzania Amazon Echo. W przeciwnym razie każda rozmowa odbywająca się w pobliżu urządzenia może stać się prawdziwym utrapieniem.

To nie jest droga jednokierunkowa

Zakleiłeś taśmą kamerę w laptopie, smartfon włożyłeś pod poduszkę i wyrzuciłeś głośniki Echo. Czujesz się wolny od elektronicznych podsłuchów, ale przecież to tylko złudzenie. Badacze z Uniwersytetu Ben-Guriona (Izrael) stwierdzili, że nawet zwykłe słuchawki mogą stać się urządzeniami do podsłuchu.

  1. Słuchawki i głośniki pasywne są zwykle odwróconym mikrofonem. Oznacza to, że każdy zestaw słuchawkowy połączony z komputerem może wykrywać dźwięk.
  2. Niektóre zestawy audio mogą zmieniać funkcję portu dźwięku na poziomie oprogramowania. Nie jest to żadna tajemnica — jest to napisane w specyfikacji płyty głównej.

W efekcie cyberprzestępcy mogą przekształcić Twoje słuchawki w urządzenie podsłuchujące, aby potajemnie nagrywać dźwięk i przesyłać go na określone serwery przez internet. Odpowiednie badania pokazały, że w ten sposób z odległości kilku metrów można zarejestrować rozmowę, a nagranie będzie mieć akceptowalną jakość. Tutaj warto pamiętać, że ludzie często trzymają swoje słuchawki znacznie bliżej, na szyi lub na biurku.

Aby ochronić się przed takim atakiem, używaj głośników aktywnych zamiast słuchawek i głośników pasywnych. Głośnik aktywne mają między wejściem a głośnikiem wbudowany wzmacniacz, który zatrzymuje powrót sygnału do wejścia.