Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
I tråd med vårt trusselmodell opererer vi med antakelsen at angriperen, kalt Eve, ikke har kjennskap til de sensitive hemmelighetene til brukeren Alice, symbolisert som mengden S. Det vil si at Eve ikke kjenner til noen av Alices hemmeligheter: .¬ [[Eve]]s ∀s ∈ S. Samtidig kjenner Eve hvilken stemmestyrt personlig assistent (VPA) hun ønsker å angripe, .[[Eve]]p, og har derfor valgt ut spesifikke enheter eller grupper av enheter som mål. Angrepsstrategien kan innebære å rette seg mot flere ofre samtidig, eksempelvis ved bruk av skadelig programvare som aktiverer kompromitterende applikasjoner («skills») på målrettede enheter, noe som potensielt kan infisere alle enheter som åpner denne ondsinnede funksjonen.
I denne konteksten antas det at verken Alice eller Eve har inngående kjennskap til den automatiske talegjenkjenningsmodellen (ASR) som er innebygd i stemmestyrte enheter. Ifølge definisjonen til Biggio og Roli består angriperens kunnskap om maskinlæringssystemer av fire hovedelementer: treningsdata (D), funksjonssett (X), læringsalgoritme (f), og hyperparametere (w). Når disse elementene er spesifikke for ASR-algoritmen til en enhet .p, gjelder det en såkalt «black-box»-situasjon, hvor verken Alice eller Eve kjenner detaljene til ASR-systemet: .¬ [[Alice, Eve]] D,X,f,w. Det er viktig å understreke at selv om «white-box»-angrep, der angriperen har full innsikt i modellen, eksisterer og er effektive, anses de som urealistiske i kommersielle sammenhenger hvor angriperen ikke har tilgang til alle detaljer om ASR-systemene.
Innenfor rammen av denne trusselmodellen er både Alice og Eve tildelt ulike handlingsmuligheter. Alice benytter sin VPA i normale, ikke-skadelige interaksjoner, hvor hun gir talekommandoer (cmd) og deler hemmeligheter (s) for eksempel til verifisering eller oppsett, slik at enheten får kunnskap om disse: .[Alice]shareSecret(p,s) =⇒ [[p]]s. Videre kan Alice aktivere applikasjoner på enheten, enten lokalt eller som skybaserte tjenester, der stemmen hennes er kommandokilden. Når Alice aktiverer en applikasjon via stemmekommando, oppdateres VPAens kunnskap tilsvarende: .[Alice]run(p, app, method) ∧ method == voice =⇒ [[p]]app.
Det er også vesentlig å merke seg situasjoner hvor Alice ikke befinner seg i nærheten av enheten (definert som avstand ≥ 7 meter). I slike tilfeller vil hun ikke kunne oppfatte enhetens talte svar, hvilket påvirker hvordan informasjon formidles og mottas. Modellen representerer dette slik at dersom Alice er «away», vil ikke [[Alice]][p]say(output) være sann.
Eves muligheter varierer med graden av tilgang (access) til enheten. Dersom .access == none, kan hun være fullstendig uvitende om Alice og enhetens plassering. Ved midlertidig eller nær tilgang (.access == temporary eller proximal) kan hun handle mer målrettet og effektivt. Dette skaper et spekter av angrepsmuligheter, fra fullstendig ukjente mål til presise, situasjonsbestemte infiltrasjoner.
Det er også viktig å forstå at angrep på stemmestyrte assistenter ofte avhenger av at angriperen manipulerer eksterne applikasjoner eller ferdigheter (skills) som kjøres via stemmekommandoer. Skadevaren kan utløse kommandoer som kompromitterer personvern eller sikkerhet, for eksempel ved å utgi falske meldinger, hente ut personlig informasjon, eller utføre uautoriserte handlinger.
Tilleggsvis bør leseren være klar over det komplekse samspillet mellom brukers anonymitet, enhetens plassering, og angriperens kunnskap. Selv uten direkte innsikt i ASR-modellens indre virkemåte, kan en angriper bruke kjennskap til applikasjoner og stemmekommandoer for å etablere effektive angrep. Videre påvirker fysiske faktorer som brukerens nærhet til enheten hvordan informasjon distribueres og kan bli fanget opp eller misbrukt.
Denne forståelsen av trusselmodellen belyser nødvendigheten av å beskytte både stemmekommandoer og sensitiv informasjon på flere nivåer: teknisk, fysisk og organisatorisk. Kun ved å erkjenne både det som er kjent og ukjent for en potensiell angriper, kan man utvikle robuste sikkerhetsmekanismer for stemmestyrte assistenter.
Hvordan utnyttes «Alexa versus Alexa» — og hva gjør angrepet mulig?
Ved første gjennomføring av «Alexa versus Alexa» (AvA) i 2021 avdekket vi en kjede av sårbarheter i Amazon Echo-plattformen som tillot vedvarende kontroll av enheten uten behov for synlig fysisk kompromiss. Kjernen i angrepet er selv-aktivering kombinert med mangelfulle grenser mellom lokal enhet og skybaserte ferdigheter: Echo-enheten transkriberer brukerens tale lokalt og videresender tekst til skill-servere, mens responsene fra disse serverne kan inneholde lydstrømmer som enheten ubekymret gjengir. Når en ondsinnet ferdighet får initialt fotfeste — for eksempel ved å lokke brukeren til å aktivere en skill som tuner til en radiokanal eller streamer en lydfil — kan denne lydstrømmen inneholde kommandoer rettet mot samme Echo-enhet. Dermed fjernes behovet for en nærliggende rogue-høyttaler; angriperen oppnår et mer diskret initialt fotfeste gjennom ferdigheter eller innhold i skyen.
Teknisk sett utnytter AvA en kombinasjon av: (1) selvaktivering (wake-word) eller svake filtre mot remote initierte lydstrømmer; (2) manglende autentisering eller kontekstuell validering av hvorfra talekommandoer opprinnelig stammer; og (3) kontrollflyt mellom enhetens lokale ASR/ASV-komponenter og eksterne skill-tjenester som kan instruere enheten til å spille av lyd. Dette muliggjør ikke bare engangskommandoer, men også lengrevarende kontroll ved at angriperen får enheten til å fortsette å spille fiendtlig innhold eller iverksette seriehandlinger. I sammenligning med andre selvutstedelsesangrep på stasjonære eller mobilplattformer, er AvA spesielt farlig fordi målflaten kombinerer kontinuerlig alltid-på-mikrofon, skyfunksjonalitet og tredjeparts ferdigheter som opererer uten fysisk overvåkning.
Forsvarene må rettes mot flere lag samtidig. Relians på rene akustiske signaturer er utilstrekkelig; mottiltak som artikulatorisk- eller luftstrømsbasert liveness-detektering, mikrofonsarray-analyse for å skille interne avspillinger fra eksterne kilder, og kryptografisk eller kontekstuell binding mellom talekommando og fysisk bruker (for eksempel kortvarig fysisk autentiseringskanal) reduserer angrepsflatene betydelig. Standardiserte testsett og konkurranser som ASVspoof har akselerert forskning innen spoofsdeteksjon, men praktisk implementasjon i kommersielle assistenter krever kompromiss mellom brukervennlighet og sikkerhet. Videre må skytjenester og skill-plattformer innføre strengere retningslinjer for hvilke lydstrømmer som kan trigge lokale kommandoer, samt logging og varsling som gjør uvanlig oppførsel synlig for sluttbruker og administrator.
Ytterligere aspekter ved AvA som påvirker risikovurderingen er brukerens rolle og tilgjengeligheten av hjelpemidler: personer med nedsatt funksjonsevne som er avhengige av stemmeassistenter for tilgang til tjenester står i en særskilt sårbar posisjon; samtidig kan tilgjengelighetsfunksjoner bli misbrukt som angrepsvektorer dersom de ikke utformes med sikkerhet for øye. Historiske rapporter om utilsiktet innspilling og videresending av private samtaler illustrerer konsekvenser utover teknisk kompromiss: personvernbrudd og tillitsbrudd i økosystemet.