В последнее время виртуальные ассистенты становятся все более популярными, упрощая некоторые аспекты быта. Однако так ли они безопасны? Как показал небольшой эксперимент, проведенный специалистами компании Cadmus, использование виртуальных помощников связано с рядом рисков. К примеру, голосовой ассистент Siri может использоваться для списания средств с банковского счета ничего не подозревающего владельца iPhone.
Эксперты опубликовали видео, на котором продемонстрировали, как можно перевести средства со счета в “Сбербанке” при помощи голосовых команд Siri. При этом гаджет может быть заблокирован паролем. Ассистент самостоятельно наберет и отправит SMS-сообщение и подтвердит перевод средств с одного счета на другой.
Как пояснили эксперты, для обхода ограничения управления голосом владельца смартфона атакующий может использовать синтезатор речи. Одна из главных проблем голосовых помощников – аутентификация пользователя, в частности по Voice ID, поясняют специалисты. Siri не может быть полностью уверена, принадлежит ли обращающийся к ней голос владельцу устройства, поэтому для удобства пользователей и гарантии срабатывания чувствительность Voice ID довольно низкая. Это, в свою очередь, позволяет использовать записанную на диктофон речь хозяина смартфона.
По словам экспертов, данная проблема актуальна не только для “Сбербанка”, но и других финорганизаций, предоставляющих услугу удаленного управления счетом через SMS, включая “Альфа-банк”, “Газпромбанк”, “Югра”, “Ак Барс”, “Новиком” и пр. SMS-сообщения могут использоваться не только для управления банковским счетом. С помощью коротких номеров можно получить доступ к учетной записи в Telegram или в других системах с авторизацией по SMS, открывать шлагбаумы, управлять питанием электроприборов, отключать сигнализацию и т. д. (Cadmus/NovostIT)