Waterloo Üniversitesi’ndeki bilgisayar bilimcileri, sesli kimlik doğrulama güvenlik sistemlerini yalnızca altı denemeden sonra %99’a varan bir başarı oranıyla başarıyla atlayabilen bir saldırı yöntemi keşfettiler.
Uzmanlar, ses izi teknolojisindeki kusurları ortaya koyuyor
Şirketlerin sözde benzersiz bir “ses izi” aracılığıyla müşterilerinin kimliğini doğrulamasına olanak tanıyan ses kimlik doğrulaması, uzaktan bankacılık, çağrı merkezleri ve diğer güvenlik açısından kritik senaryolarda giderek daha fazla kullanılıyor.
“Sesli kimlik doğrulamaya kaydolurken, belirli bir cümleyi kendi sesinizde tekrarlamanız istenir. Bilgisayar Güvenliği ve Gizlilik doktora adayı ve araştırmayı detaylandıran bir çalışmanın baş yazarı olan Andre Kassis, “Sistem daha sonra sağlanan bu ifadeden benzersiz bir sesli imza (ses izi) çıkarır ve bunu bir sunucuda depolar” dedi.
“Gelecekteki kimlik doğrulama denemelerinde, sizden farklı bir ifadeyi tekrarlamanız isteniyor ve buradan çıkarılan özellikler, erişim izni verilip verilmeyeceğini belirlemek için sisteme kaydettiğiniz ses iziyle karşılaştırılıyor.”
Ses izi kavramı tanıtıldıktan sonra, kötü niyetli aktörler, beş dakika kadar kısa bir sürede kaydedilmiş ses kullanarak bir kurbanın sesinin ikna edici kopyalarını oluşturmak için makine öğrenimi özellikli “deepfake” yazılımını kullanabileceklerini hemen anladılar.
Buna yanıt olarak geliştiriciler, bir konuşma örneğini inceleyebilen ve bunun bir insan mı yoksa bir makine tarafından mı oluşturulduğunu belirleyebilen kontroller olan “sahtekarlığa karşı önlemler” getirdi.
Sesli kimlik doğrulama güvensizliği
Waterloo araştırmacıları, sahtekarlığa karşı önlemlerden kaçınan ve çoğu sesli kimlik doğrulama sistemini altı denemede kandırabilen bir yöntem geliştirdi. Deepfake seste bilgisayar tarafından üretildiğine dair işaretler belirlediler ve bu işaretleri kaldırarak gerçek sesten ayırt edilemez hale getiren bir program yazdılar.
Amazon Connect’in sesli kimlik doğrulama sistemine karşı yakın zamanda yapılan bir testte, dört saniyelik bir saldırıda %10’luk bir başarı oranı elde ettiler ve bu oran otuz saniyeden daha kısa bir sürede %40’ın üzerine çıktı. Hedefledikleri daha az karmaşık ses doğrulama sistemlerinden bazılarıyla, altı denemeden sonra %99’luk bir başarı oranı elde ettiler.
Kassis, sesli kimlik doğrulamanın ek güvenlik olmamasından açıkça daha iyi olmasına rağmen, mevcut sahtekarlığa karşı önlemlerin kritik derecede kusurlu olduğunu iddia ediyor.
“Güvenli bir sistem oluşturmanın tek yolu, bir saldırgan gibi düşünmektir. Eğer yapmazsan, sadece saldırıya uğramayı bekliyorsun, ”dedi Kassis.
Kassis’in amiri, bilgisayar bilimi profesörü Urs Hengartner, “Sesle kimlik doğrulamanın güvensizliğini göstererek, tek kimlik doğrulama faktörü olarak sesle kimlik doğrulamaya güvenen şirketlerin ek veya daha güçlü kimlik doğrulama önlemleri kullanmayı düşüneceğini umuyoruz.”