Российские разработчики победили в международном конкурсе по защите биометрии

Команда ЦРТ обошла Samsung и Pindrop в международном научном конкурсе по защите биометрии от хакеров

Система, созданная разработчиками и учеными из группы ЦРТ, допустила меньше всех ошибок, определяя попытки взлома с помощью записей и воспроизведения чужих голосов на последнем Automatic Speaker Verification Spoofing and Countermeasures Challenge. Об этом на форуме по практической безопасности PHDays рассказал генеральный директор ЦРТ Дмитрий Дырмовский.

Конкурс проходит раз в два года при крупнейшей конференции по речевым технологиям Interspeech. Его организуют ученые европейских университетов, а участие в нем принимают команды от крупных компаний, исследовательских институтов и вузов. Так, например, свои решения выставляют Samsung и Pindrop, являющиеся признанными лидерами на мировом рынке голосовой биометрии.

Каждый год организаторы предлагают бороться с атаками определенной разновидности и максимально реалистично имитируют их, оценивая число точных и ложных срабатываний фильтров у биометрических систем конкурсантов. На этот раз участникам предложили бороться с «атаками повтора аудиозаписи» (Audio replay attack). При атаке такого типа мошенник записывает на диктофон, как пользователь произносит парольную фразу, а потом воспроизводит эту запись при попытке взлома системы, чтобы выдать себя за пользователя.

Решение ЦРТ показало на конкурсе лучший результат, с вероятностью ошибки 6,73% (Equal error rate). У лидера американского рынка Pindrop, занявшего седьмое место показатель почти в три раза хуже – 18,14%

Дмитрий Дырмовский, генеральный директор группы ЦРТ:

«Чем больше услуг государства и бизнесы позволяют получить удаленно, чем выше важность данных, к которым можно получить доступ, подтвердив личность голосовой или видеобиометрией, тем надежней должна быть защита. Кажется, что «простые» атаки не стоят внимания компаний-разработчиков, но это большое заблуждение.

Мы проводим пилот с крупным бразильским банком. По оценке местного интегратора Certisign, фродовая нагрузка на интернет-банкинг на рынке Латинской Америки порядка  20%. И это не сложносочиненные схемы. Большая часть из них – попытки «взять крепость с наскоку». Конечно, к чувствительной информации доступ фразой «Ок, Google», не откроешь. Такие данные обычно защищают сложные бимодальные системы, построенные на принципах непрерывной параллельной голосовой и видеобиометрии с использование динамических парольных фраз. Но люди быстро привыкнут логиниться голосом – это ведь так удобно, биометрическая авторизация будет распространятся на многие-многие сервисы, не все их них будут готовы внедрять сложные многоуровневые решения. И это значит, что проблема простых паролей всплывет на новом уровне».

Напомним, в апреле в голосовом помощнике Siri был обнаружен баг, позволяющий читать содержимое скрытых уведомлений на iPhone, без разблокировки устройства. А летом прошлого года российскими пользователями было установлено, что аналогичным образом, при помощи Siri, c заблокированного iPhone можно было отправлять SMS на номер системы SMS-банкинга «Сбербанка» (900) с указанием суммы денежного перевода и номера адресата. При этом  Siri без дополнительных запросов выполняла команду, а также отправляла код подтверждения банку для завершения транзакции.

 

preview В работе Facebook и Instagram произошёл сбой

В работе Facebook и Instagram произошёл сбой

Около 16:00 по Москве сайт и мобильное приложение Facebook оказались недоступны. Об этом свидетельствуют жалобы пользователей в Twitter
preview Facebook начал тестировать рекламу в Stories

Facebook начал тестировать рекламу в Stories

Facebook сообщил, что начала тестировать рекламу в Stories. Первыми её увидят пользователи в США, Мексике и Бразилии
preview Facebook запускает обновлённую версию Ads Reporting

Facebook запускает обновлённую версию Ads Reporting

Facebook объявил о запуске обновлённой версии раздела «Отчётность по рекламе» (Ads Reporting) в Ads Manager
preview У российских спецслужб есть возможность чтения переписки в мессенджере ICQ

У российских спецслужб есть возможность чтения переписки в мессенджере ICQ

Российские спецслужбы имеют возможность чтения переписки в мессенджере ICQ, принадлежащем Mail.Ru Group
preview Viber пожаловался на блокировку доступа со стороны операторов связи

Viber пожаловался на блокировку доступа со стороны операторов связи

Viber пожаловался на блокировку доступа к его серверам со стороны операторов связи, из-за чего российские пользователи столкнулись с проблемами с подключением к мессенджеру
preview Google отказался назвать ресторан и салон, в которые звонил Assistant

Google отказался назвать ресторан и салон, в которые звонил Assistant

Журналисты Axios заподозрили компанию в обмане при демонстрации новой технологии Duplex, которая позволит голосовому помощнику Assistant совершать телефонные звонки от имени...