你的声音是你的 - 作为你的指纹,眼球和DNA是独一无二的。
不幸的是,这并不意味着它不能被欺骗。那个现实可以破坏承诺的安全福利之一多因素身份验证,这需要“某些东西,”以及你所拥有的东西。从理论上讲,即使攻击者可以窃取密码,他们也不能变成你。
但鉴于技术的36道,这是不再是一个肯定的事情。指纹不再是一种完全防黑客的身份验证方法- 它们可以欺骗。
这将很快就是你的声音。
在联邦通信委员会(FCC)和更好的商业局(BBB)的最新警告中,风险远远超出了最近的警告垃圾邮件呼叫者试图让受害者说“是”,他们记录然后用于授权欺诈性信用卡或公用事业费用,或者“证明”受害者欠他们的服务从未订购的服务。
这项技术旨在准确地“克隆”个人的声音,以使他或她说出任何你想要的任何东西。潜在的风险很明显:如果您的手机要求您的声音解锁它,那么带有一些音频声音的攻击者可以做到这一点。
它尚不完美。但它已经非常接近。去年落在公司Adobe Max 2016的演示Voco,绰号“拍摄声音,”转过一张男人的录音说:“我吻了我的狗和我的妻子”进入“我吻了约旦三次”。观众疯了。
产品的音高:“有20分钟的语音样本,Voco可以让任何人说什么。”
最近,来自蒙特利尔的学院学习算法实验室大学的研究人员宣布,他们正在寻求投资者开始为自己的声音模仿软件,琴鸟,他们认为这将能模仿任何声音从少录音一分钟。
根据科学的美国,Lyrebird技术依赖于“人工神经网络”依赖于“人工神经网络”,它使用算法旨在帮助它们像人类大脑一样运作 - 依赖于深度学习技术将声音转换为语音。“
研究人员表示,该系统可以根据某人的演讲仅为一分钟样本来适应任何语音。
令人兴奋 - 或不祥的含义是,作为科学的美国人,在学习之后,“在任何声音中的发音,”发音......它可以推断出来生成完全新的句子,甚至可以增加不同的语调和情绪。“
曾经完善的情况下,恶作剧有很多可能性 - 超越简单地创造了喜剧视频欺骗你最喜欢的名人的声音。除了破坏基于语音的验证,导致身份盗窃或其他欺诈 -桑坦德银行在过去的一周内运行广告语音验证- 它可以消除语音或视频录制的使用作为法庭上的证据。
Lyrebird本身,在一个简短的伦理声明中在其网站上,承认其产品,“可能会有危险后果,例如误导外交官,欺诈等偷窃别人身份造成的任何其他问题。”
该声明补充说,“通过公开发布我们的技术并使每个人提供,我们希望确保没有这样的风险。”
该技术正在从安全社区那里获得混合响应。IBM弹性,作者和加密大师的CTO Bruce Schneier告诉科学的美国,假音频剪辑已成为“新现实”。
在他自己的博客上,Schneier写道:“想象一下社会工程含义电话上的攻击者能够冒充受害者知道的人.我认为我们还没有准备好。”
但这有点回顾他的评论线程。一位读者争辩说:“作为一个物种”我们从未准备好“是什么,我们学会通过经验进行调整,这可能是我们最强大的生存技能。”
另一位评论人士指出,这种担忧并不新鲜,他引用了一份2003年的报告,报告中俄勒冈健康与科学大学(Oregon Health & Science University) OGI科学与工程学院的一位教授质疑由晚恐怖主义莫德奥萨马·本·拉登定期发布的录音带是真实的.
“因为语音变换技术越来越多地提供,它变得越来越难以检测一种声音是否伪造,”大学数学心理学家Jan Van Santen说。
但是,当然,这些录音的音频质量令人惊奇地差。现在的语音模仿质量来自Adobe的Voco,字母表(谷歌的母公司)Wavenet和Lyrebird是更好的数量订单,并且预计在明年或两者之间会变得更好。
此外,认证专家表示,声音仍然可以是确认身份的可信因素 - 只要它不是唯一的因素。
“如果身份的唯一确定是语音,我们遇到了麻烦,”韦里尼姆首席执行官的詹姆斯斯卡兰德说。
但是,如果语音是他所说的“集合”的一个元素,它包括拥有(你拥有的东西,比如符号)和知识(密码),那么语音仍然可以在身份验证中“扮演一个不可或缺的角色”。
如果,正如施奈尔写的那样,我们还没有准备好语音欺骗技术,即,因为“大多数人仍然占有,基于知识和生物认证,”Stickland说。“身份验证的未来结合了所有这些等。”
Fido(快速身份在线)联盟的执行董事Brett McDowell,同意,“语音识别易受介绍攻击;逆境记录了目标用户的物理特征的样本,并使用它来生产该用户生物识别性的冒险副本或“欺骗”。“
他还同意,黑客相对容易获得生物信息。“我们在大多数我们触摸的所有内容上留下指纹,而我们的图像和声音都很容易记录,而无需我们的知识或许可,”他说。
但是,他说生物识别学仍然可以是一个有效的安全层,如果作为FIDO标准指定它们是“的范围仅限于第一个也需要授权用户的个人设备的物理拥有的两个步骤的范围。”
That would mean an end to what George Avetisov, CEO of HYPR, terms “centralized authentication,” where a biometric identifier is stored in a database and, “an individual's information is compared against a whole library of others’ similar information at each authentication request.”
他说,使用FIDO推荐的分散式系统,“没有生物识别数据的中央存储”。当用户“注册”语音等生物识别信息时,“他们会在本地注册,然后加密并存储在设备上。”
“黑客不仅要重新创造目标的声音,他们还必须对这个人的移动设备进行物理访问,这是指数艰难且经济上的不可行,”他说。
他说,个人身份信息(PII)的“仓储”需要结束,因为它可以(并且已经)导致,“灾难性的数据泄露就像在OPM(人事管理办公室)案例“其中,其中超过2100万台当前和前联邦工人的私人数据受到损害。
简而言之,如果您的声音在您的设备上本地存储,专家们表示将相对容易地进入您的设备,访问您的银行帐户等。
实际上,Stickland表示,这项技术可能会达到攻击者甚至可以使用目标的声音进行可靠的谈话的地步。“它被称为网络钓鱼它每天都会通过电子邮件和电话,“他说。
Avetisov同意,称声音欺骗甚至能够模仿像模式,韵律和措辞等个人语音特征。
“机器学习和人工智能以惊人的速度推进,并且在这种系统的轻微缺陷中只有一个时间问题,”他说。
但麦克道尔表示,机器学习也可以帮助好人。他说:“黑客们试图通过更高分辨率的欺骗来击败生物识别技术,而生物识别技术行业则不断创新传感器的灵敏度和PAD(演示攻击检测)能力,我们正处于一场新的军备竞赛中。”
这些可以包括,“如果使用面部识别系统或者在使用语音识别系统时,则让用户闪烁,或者在使用语音识别系统时,或者在皮肤下方读取的指纹传感器以被假指纹不能欺骗的特性。”
这些功能可以通过“行为生物识别技术”,Stickland表示,其中包括“关于我们的行为的众多测量”,包括位置,“你如何握住你的手机,你的行走的步伐等机器和深度学习算法在您的手机中将学习您的运动,言语和其他行为模式。“
这个故事,“地平线的声音盗窃”最初是发表的方案 .