A különböző hangvezérelt digitális asszisztensek az IoT eszközök meghatározó szegmensévé növekedtek. A becslések szerint már az előző év végén is 4,25 milliárd telepítés működött a különféle eszközökön, a technológia gyors terjedését pedig jól mutatja, hogy minden negyedik amerikai felnőtt olyan háztartásban lakik, ahol legalább egy digitális asszisztens működik. Ez egyelőre nem jelenti, hogy sikerült volna eloszlatni a velük kapcsolatos biztonsági aggályokat.

Bár az ilyen alkalmazások eleve értelmetlenné válnak, ha a tulajdonosok nem járulnak hozzá a folyamatos adatgyűjtéshez, már a legnagyobb gyártók mindegyikéhez tapad néhány adatkezelési botrány: ilyenek az adatszivárgások, a szolgáltatók munkatársainak visszaélései vagy az inaktív állapotban is működő hangrögzítő komponensek. Sőt nem csak a saját eszközök miatt érdemes aggódni, hiszen könnyű belefutni olyan helyzetekbe, amikor valamilyen módon mások rögzítik a hangunkat.

A hallgatózás is adatforgalommal jár

A kéretlen hallgatózás ellen természetesen sorra bukkannak fel a külső gyártóktól származó megoldások, mint amilyen legutóbb az a darabonként 20 dolláros költséggel gyártható karperec is lett volna, amely magas frekvenciájú hangokkal teszi a rögzítésre alkalmatlanná a beszélgetéseket. A VentureBeat most egy másik érdekes projektről közölt riportot, amit szintén amerikai egyetemi kutatók valósítottak meg, és ami a mikrofonnal rendelkező eszközök folyamatos ellenőrzését célozza.

A LeakyPick nevű platform lényege, hogy feltárja a mikrofonnal rendelkező otthoni IoT készülékek nem kívánatos gyakorlatait, legyen szó a rendeltetésszerűen vagy valamilyen rosszindulatú ágens befolyására felvett és továbbküldött hanganyagokról. Az egyik legérdekesebb dolog pedig azoknak a baleseteknek a felderítése, amelyek a hangvezérelt digitális asszisztensek véletlen aktiválásából származnak, és amelyek annyira gyakoriak, hogy bizonyos szervezeteknél már a házirend része az ilyen eszközök kikapcsolása a bizalmas beszélgetések során.

Az egyelőre ugyancsak prototípus formájában létező LeakyPick egy Raspberry Pi alapú, kevesebb mint 40 dollárból összerakott eszköz, ami bizonyos időközönként hangjeleket generál, és ellenőrzi, hogy ezek nyomán az okos hangszórók vagy más eszközök milyen adatforgalmat generálnak – vagyis bekapcsolnak-e, és továbbítják-e a felvételeket valamilyen távoli szerverre. A lényeg a mért forgalom összehasonlítása a megfelelő készülékekre statisztikailag jellemző értékekkel, ami jól jelzi, ha valamelyik eszköz gyanúsan kezd viselkedni.

A projekten dolgozó kutatók szerint már 94 százalékos hatékonysággal sikerül jelezniük a hang alapú adatforgalmat, legyen szó a biztonsági kamerákhoz hasonló, folyamatosan működő IoT készülékekről, vagy az olyan alkalmazásokról, amelyeket valamilyen hangutasítással kell aktiválni. Ez utóbbiakkal kapcsolatban a LeakyPick azt is teszteli, hogy milyen, az eredetileg meghatároott parancsoktól eltérő szavak vagy hangok aktiválhatják őket, ami sokat segíthet a felvételek véletlenszerű elindításának megelőzésében.

Gyakran előfordulhat, de ritkán fordul elő

Ehhez tulajdonképpen a szótárból "olvas fel" olyan szavakat, amelyek a beállított parancsokkal megegyező, vagy azokhoz nagyon hasonló fonémákból állnak, és ezeket akár a tulajdonos távollétéban is próbálgatni tudja az otthon pihenő digitális asszisztenseken. A kutatók tbb márka több gyártmányával is végeztek kísérleteket, köztük természetesen az Echo Dot, a Google Home és a HomePod eszközökkel, vizsgálva a sikeres parancsokat indikáló ledfényeket vagy más jeleket, illetve a lokális wifi-hálózat forgalmát is.

Hogy az ilyen vizsgálatok mennyire relevánsak, azt jól mutatja, hogy az Echo Dot esetében, amely simán az "Alexa" parancsra volt konfigurálva, 89 különböző szóval sikerült megbízható módon felébreszteni az okos hangszórót, vagyis legalább ötből egyszer aktiválni a készüléket. Ezek között 23 olyan szó is volt, ami 100 százalékos hatkonysággal kapcsolta be az Alexa asszisztenst, vagyis könnyű belátni, hogy az elfogadhatónál bőven nagyobb esélyünk van a digitális segédek véletlen aktiválására.

A fenti 89 szó egyébként minden esetben el is indította az audio felvételeket és a forgalmazást az Amazon felé. A méréseket ráadásul összefüggésbe helyezi, hogy az Ars Technika egyik friss riportjában szereplő, egyelőre nem publikált kutatás összesen 1000 olyan kifejezést azonosított, ami felébresztheti az Alexa, a Siri vagy a Google Assistant segédeket.

Az Amazon szóvivője a VentureBeat beszámolójára reagálva megjegyezte, hogy a társaság nem ismeri az idézett kutatások pontos metodológiáját. biztosított azonban mindenkit, hogy a fentiekhez hasonló véletlenek csak a legritkább esetekben fordulnak elő. Ráadásul az Alexa beszédfelismerő képességei folyamatosan fejlődnek, éppen az aktív felhasználások visszacsatolásai révén, az Amazon pedig az alapoktól építi be szolgáltatásába a biztonságot és a személyes adatok védelmét.