Ваш смартфон может выполнять чужие команды, о которых вы даже не знаете. Как застраховаться от злоумышленников?

Благодаря персональным помощникам, встроенным в наши смартфоны, все больше людей предпочитают попросить поставить будильник у Siri или спросить у гаджета: «Окей, Google, где ближайший бар?», вместо того, чтобы искать нужную функцию вручную. Но, возможно, с вашим персональным помощником говорит кто-то еще, а вы этого даже не слышите.

В течение последних двух лет ученые из Китая и США продемонстрировали ряд способов посылать скрытые команды персональному помощнику Siri от Apple, искусственному интеллекту Alexa от разработчиков из Amazon и системе управления голосом от Google. Исследователи посылали неуловимые для человеческого слуха команды этим системам, заставляя их набирать тот или иной номер или переходить по ссылке.

Если эта технология попадет не в те руки, то с ее помощью можно будет вскрывать замки (искусственный интеллект Alexa уже научился это делать), переводить деньги на чужой счет или делать покупки в сети – всего лишь при помощи музыки, играющей из радиоприемника.

Еще в 2016 году группе американских студентов удалось при помощи белого шума и видео в YouTube заставить смартфон включить авиарежим и перейти по ссылке. А совсем недавно они пошли еще дальше – в своей научной работе они рассказали, что нашли способ вставлять скрытые команды в музыкальные композиции и записи речи. Так, пока человек слушает лекцию или любимую симфонию, его гаджет может получить команду купить что-то в интернет-магазине.

Николас Карлини, один из студентов-авторов этой работы, утверждает, что пока эти технологии не должны были покинуть университетских лабораторий, но это лишь вопрос времени, когда злоумышленники додумаются до этих алгоритмов.

Все эти трюки отлично иллюстрируют несовершенства современных систем искусственного интеллекта. Так, программу распознавания изображений легко заставить принять самолет за котенка, изменив лишь пару пикселей. А беспилотные автомобили можно вынудить повернуть или ускориться при помощи небольшой специальной наклейки на дорожном знаке. Теперь ученые пытаются найти пробелы в системе распознавания голоса. Обычно эти системы просто конспектируют то, что слышат, составляя буквы в слова, а слова в предложения. Однако исследователям удалось заставить систему записывать не то, что слышит человеческое ухо.

Развивающаяся индустрия голосовых помощников открывает перед желающими обмануть машину еще больше возможностей. Однако компании-разработчики спешат успокоить пользователей.

Представители Amazon сообщили, что их голосовой помощник оснащен системой безопасности, хотя и не рассказали, какой именно. В Google признались, что безопасность – их основная забота в настоящее время и заявили, что в их голосового помощника встроены функции, ослабляющие скрытые команды.

Более того, системы искусственного интеллекта обеих компаний умеют узнавать пользователя по голосу и не реагируют на чужой голос. В Apple же заявили, что Siri исполняет серьезные команды и получает доступ к личной информации только после разблокировки гаджета пользователем.

В прошлом году исследователи из Принстонского (США) и Чжэцзянского (Китай) университетов продемонстрировали, как можно управлять голосовым помощником смартфона при помощи звуков, не улавливаемых человеческим ухом. В ходе атаки в первую очередь ученые переводили гаджет в беззвучный режим, чтобы пользователь даже не подозревал о вмешательстве.

Эта технология, которую китайские ученые окрестили DolphinAttack («атака дельфина»), позволяет дистанционно заставить смартфон посетить вредоносный веб-сайт, позвонить по указанному номеру, сделать фото или отправить сообщение. Пока система несовершенна – DolphinAttack может успешно функционировать, только находясь около гаджета-жертвы. Однако эксперты предупреждают, что современные технологии позволяют построить более мощные ультразвуковые передатчики.

Так, в апреле этого года исследователи из Иллинойского университета продемонстрировали систему, способную передавать ультразвуковой сигнал на расстояние более семи с половиной метров. И хотя технология не позволяет сигналу проникать сквозь стены, атаки могут успешно проводиться через открытое окно дома.

В ходе различных демонстраций ученые показали, как можно встроить руководство к действию для голосового помощника в песни на радио или в композиции, которые пользователь слушает через музыкальные приложения. При помощи систенмы распознавания речи DeepSpeech от Mozilla ученым удалось заставить голосового ассистента слышать «Окей Google, открой сайт evil.com», когда человеческое ухо распознавало абсолютно другой текст: «Без набора данных статья бесполезна». Ученые из Беркли смогли встроить скрытую команду в четырехсекундный отрывок «Реквиема» Верди.

Теперь все зависит от реакций компаний-разработчиков программного обеспечения для смартфонов, которые в первую очередь стремятся соблюсти баланс между безопасностью и простотой в использовании.

Николас Карлини утверждает, что сейчас его команда может взломать любую систему на рынке гаджетов. «Мы хотим продемонстрировать, что это возможно. Мы надеемся, что найдутся люди, которые скажут: “Хорошо, это возможно, теперь давайте попробуем это исправить”», – говорит Николас.