Выяснилось, что подслушивают голосовые помощники
Когда голосовой помощник активируется, он записывает небольшой кусок речи и отправляет его производителю для последующей расшифровки и анализа. Соответственно, если помощник запускается ошибочно, то возникает риск нежелательной утечки информации. Немецкие исследователи решили точно выяснить, в каких случаях это может произойти.
В эксперименте участвовали голосовые помощники от Amazon, Apple, Google, Microsoft, Deutsche Telekom, Xiaomi, Baidu и Tencent. Им много часов проигрывали различные аудиоматериалы на английском, немецком и китайском языках, в том числе некоторые серии «Игры престолов», «Американской семейки», «Места преступления» и выпуски новостей. Также использовались профессиональные записи, предназначенные для обучения помощников.
Каждый помощник был подключен к диоду, показывающему его активацию. Кроме реакции на определенные звуки отслеживался также и момент отправки данных через интернет.
В результате был получен список из более чем 1000 звуковых последовательностей, которые ошибочно приводили к активации голосовых помощников. Например, в зависимости от произношения Alexa реагировала на английские слова «unacceptable» и «election», а Google на «OK, cool». В случае немецкого языка помощник Amazon запускался при произнесении сочетания «Am Sonntag», а Siri — на слово «Daiquiri».
Чтобы понять, что именно приводило к запуску программ, авторы исследования разложили выявленные слова-триггеры на минимальные составные части и идентифицировали те из них, на которые реагировали помощники. Потом на этой основе были подобраны другие слова, которые производили такой же эффект.
«Помощники намеренно запрограммированы достаточно либерально, чтобы быть способными понимать людей. Они включаются, скорее, чаще, чем нужно, а не реже», — говорит Доротея Колосса из Рейнского университета.
В ходе эксперимента также выяснилось, как сами помощники и их производители обрабатывают ошибочные запуски. Обычно этот процесс состоит из двух уровней — сначала сам помощник пытается определить, содержит ли речь слово-триггер, и если считает, что да, то отправляет достаточно длинный кусок записи в облако производителя для более точного анализа. Если облачный анализ показывает ошибку, то помощник не запускается, а вся его активность проявляется только в коротком мигании светового сигнала.
«С точки зрения приватности это, конечно, выглядит опасно, поскольку часть частного разговора оказывается в чужих руках, — говорит Тростен Хольц, руководитель кафедры системной безопасности в Рурском университете. — Но с инженерной точки зрения такой подход понятен, поскольку система может быть улучшена только с помощью этих данных. Производитель должен, по сути, садиться на шпагат между защитой данных и технической оптимизацией».