Пользователи Google смогут подтверждать покупки голосом

Компания Google внедрила новую функцию в свой голосовой ассистент. Теперь пользователи смогут подтверждать покупки в приложении, используя голос. Работает она следующим образом: пользователь произносит определенную фразу и она сравнивается с существующими записями на сервере, таким образом подтверждается идентификация личности. Правда, безопасность такого метода вызывает вопросы.
peshkov / iStockphoto

"Идентификация человека по голосу - один из наименее надежных способов биометрической идентификации, признаваемых пригодными для коммерческого использования, - отмечает Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. - По сравнению с изображением лица или отпечатков пальцев голос человека сильно подвержен изменениям в зависимости от физического состояния и от факторов окружающей среды (человек сидит или двигается, находится в помещении или на открытом воздухе, здоров или простужен)".

Из-за этого точность идентификации по голосу значительно ниже, чем у других способов биометрической идентификации. По словам Кузнецова, основная проблема всех ее методов - повышенный риск атак с использованием социальной инженерии. "При голосовой идентификации такие атаки проводятся очень просто. Мошенники звонят жертве, выдавая себя за сотрудников банка, и убеждают человека произнести вслух любую нужную им фразу. Фразу записывают и используют для подтверждения операции при краже средств со счета жертвы", - говорит он.

Для защиты от таких атак на стороне банка нужно применять специальные приемы (например, требовать от клиента произнести вслух часть реквизитов подтверждаемого платежа). На практике такая защита используется редко, а без нее биометрическая голосовая идентификация не является препятствием для злоумышленников.

Член совета Государственной Думы по информационной политике, информационным технологиям и связи Евгений Лифшиц рекомендует использовать голосовой метод идентификации только в качестве дополнительного наряду с другими. "Уже сегодня существуют развитые технологические средства имитации голоса, на слух почти неотличимые, - напоминает он. - Чтобы синтезировать речь с помощью нейросети, достаточно всего нескольких образцов записи речи, поэтому для публичных персон, естественно, такой способ идентификации просто закрыт".

Для обычного гражданина, который не выступает по радио и телевизору, ситуация с виду обстоит безопаснее. "Но на самом деле нет, есть минимум две возможности для злоумышленника заполучить образец голоса обычного человека и на его основе подделать такой идентификатор, - продолжает он. - Во-первых, еще в прошлом году были сообщения о мошенниках, которые прозванивают людей и записывают образцы их голоса, формируя, вероятно, базу звуковых образцов. Во-вторых, при голосовой идентификации звук сравнивают с неким образцом голоса, который при биометрии гражданин сдал, этот образец хранится в некоей базе, и его оттуда можно похитить".

Лифшиц предупреждает, что подобные базы данных можно найти в даркнете. "Ее может слить недобросовестный сотрудник, или отдельную запись может вытащить сотрудник подрядчика, которого попросит за деньги заинтересованный человек. Мы видели в ходе скандала с Apple, как этот процесс устроен. Голосовые помощники также представляют лазейку. Так что основным средством идентификации голос делать нельзя, его подделать несопоставимо легче, чем, например, сетчатку глаза", -считает он.