«Умные» динамики ловят людей на слове

Как голосовые ассистенты выходят из-под контроля пользователя

Shutterstock

Широкое распространение голосовых помощников и развитие интернета вещей поднимает вопрос безопасности для тех, кто пользуется этими современными технологиями. «Газета.Ru» попыталась разобраться, чем опасны виртуальные ассистенты и что они могут натворить, среагировав на «чужую» голосовую команду.

Многие владельцы голосовых помощников и домашних смарт-динамиков, распознающих команды, всерьез обеспокоены тем, какой объем информации получают эти устройства, записывая разговоры. Хотя зашифрованная речь, как правило, хранится на серверах компании-разработчика, микрофон можно отключить, а все записи удалить вручную, эта технология пока далека от совершенства.

«В будущем технические средства будут развиты настолько, что смогут идентифицировать голос конкретного человека и хранить список тех, кто может получить доступ к устройству», — заявил старший эксперт по безопасности ESET North America Стивен Кобб.

Кобб также отметил, что Федеральная торговая комиссия США уже занимается проблемой гаджетов и игрушек, управляемых голосом, чтобы удостовериться, что эта технология отвечает требованиям безопасности.

«Газета.Ru» решила вспомнить конкретные случаи, когда «помощники» не только не помогали, но и вредили своим хозяевам, угрожая сохранности их личных данных, семейному бюджету, а также подвергая опасности детей.

Игрушечный домик за реальные деньги

Гаджеты взрослых нередко оказываются в руках детей, которые неосознанно могут совершить покупки на крупные суммы, тем самым создавая проблему для своих родителей. Подобные случаи настолько участились, что многие крупные ритейлеры запустили программы возврата денег за товары, заказанные маленькими детьми.

Одна из таких ситуаций произошла в техасском Далласе, когда 6-летняя девочка попросила у смарт-динамика Amazon Echo купить ей кукольный домик и четыре фунта сахарного печенья. Помощник, который не различает голоса и реагирует на имя «Алекса», с готовностью исполнил заказ, купив одну из самых дорогих моделей — стоимостью $170 (около 10 тыс. руб.).

Родители девочки осознали, что этот случай может стать не единичным, и запретили Amazon Echo совершать покупки без кодового слова, а домик отдали в местную детскую больницу.

Но на этом «кукольная» эпопея не закончилась. Когда эта история дошла до новостного шоу CW6 News в Сан-Диего, его ведущий произнес: «Мне нравится эта малышка, которая сказала «Alexa, закажи мне домик».

В результате тысячи голосовых помощников и «умных» колонок от Amazon, чьи пользователи в этот момент смотрели выпуск, прореагировали на голос ведущего и сделали тот же заказ в игрушечных магазинах.

Реальных случаев списания денег после этого шоу зарегистрировано, впрочем, не было, так как покупку необходимо подтвердить, сказав «да» или введя заранее оговоренный код. Но с учетом того, что «да» — не самое редкое слово в домашних разговорах, кто-то легко мог спонтанно стать владельцем кукольного домика из-за случайной фразы, брошенной ведущим новостей, так как голосовой заказ товаров является функцией, которая запускается автоматически и по умолчанию.

Менеджер по группе продуктов ESET Russia Сергей Кузнецов рассказал «Газете.Ru», что вопрос ущерба, который может нанести взломанный голосовой помощник, напрямую зависит от того, насколько глубоко эта технология интегрирована в жизнь владельца.

«Если функция используется раз в год, чтобы показать новости или найти что-то в интернете, — нет проблем. Но если голосовой командой можно отключить сигнализацию в доме или осуществить финансовую операцию — конец немного предсказуем», — поделился эксперт.

Недетский запрос

Тот же голосовой помощник оказался замешан в еще одной неприятной истории в декабре 2016 года. Тогда мальчик по имени Уильям попросил ассистента включить ему детскую песенку «Digger digger», но из-за плохой дикции малыша Alexa расслышала запрос некорректно.

В результате программа начала зачитывать результаты по поиску порно в интернете, не стесняясь в выражениях, и перечислила Уильяму крепкие слова, обозначающие половые органы.

Корреспондент портала Mashable связался с пресс-службой Amazon, которая сообщила о том, что извинилась перед пострадавшей семьей и устранила проблему. «Кроме того, мы добавим дополнительные ограничения, чтобы избежать таких ситуаций в будущем», — заявил представитель компании.

Бургер в каждый дом

Уязвимость голосовых ассистентов, не распознающих голос владельца, другие компании начали использовать для своих корыстных целей. Например, в Burger King выпустили небольшой рекламный ролик, возмутивший интернет-общественность.

На видео мужчина громко произносил поисковой запрос, активирующий динамики Google Home. В результате «умные» колонки в домах у интернет-пользователей срабатывали и вне зависимости от желания своих хозяев открывали статью на «Википедии», посвященной бургерам этой закусочной.

Google сумел устранить последствия агрессивной рекламы, запретив своим колонкам реагировать на этот грязный рекламный трюк. Однако вероятность повторения вирусных кампаний подобного рода, очевидно, будет только расти.

«Очень неразумно со стороны Google не иметь защитный механизм, не позволяющий третьим лицам получить контроль над устройством», — заявила юрист по вопросам интеллектуальной собственности Фэйт Каспариан в комментарии Bloomberg.

«Что же касается Burger King, то я вообще не знаю, о чем они думали», — продолжила эксперт.

Она добавила, что обычный человек не может допустить мысль, что кто-то удаленно способен управлять своим голосовым ассистентом. По ее мнению, Google может грозить разбирательство со стороны федеральной торговой комиссии за то, что компания не заострила внимание своих пользователей к такой проблеме. В то же время сама эта компания может подать в американский суд на ресторан быстрого питания за неуместную эксплуатацию своего устройства.

Стоит отметить, что участие в этой истории «Википедии» подстегнуло шутников по всему миру редактировать злосчастную статью множество раз. После издевательских правок в качестве ингредиентов бургеров стали фигурировать человеческие ногти, цианид и крысиное мясо. На данный момент эта статья заблокирована, и вносить в нее правки запрещается.

Мишка-шпион

Устройства, подключенные к интернету, есть практически в каждом доме, а значит, личные данные их пользователей могут быть под угрозой хакерской атаки. Одна из громких историй, связанных с интернетом вещей, произошла в начале марта 2017 года — в центре скандала оказались «умные» плюшевые игрушки CloudPets.

Эти устройства предназначены для общения между родителями и детьми с помощью голосовых сообщений, которые транслируются плюшевым зверем.

Выяснилось, что хакеры получили доступ и похитили электронные адреса и хешированные пароли около 800 тыс. владельцев таких игрушек.

Причиной этому стало отсутствие элементарных требований безопасности у компании-разработчика Spiral Toys.

Кроме того, в официальном ролике по эксплуатации CloudPets всем пользователям рекомендуется использовать стандартный пароль, и это сильно упростило жизнь злоумышленникам. Таким образом, безобидная детская игрушка в руках хакеров оказалась мощным шпионским инструментом. После этой истории эксперты порекомендовали не покупать своим детям товары, относящиеся к интернету вещей, а приобрести «старого доброго плюшевого медведя без доступа к сети».