I ricercatori dell’Università di Waterloo hanno fatto una scoperta preoccupante nel campo della sicurezza informatica. Hanno sviluppato un metodo di attacco che riesce ad eludere i sistemi di sicurezza dell’autenticazione vocale con un tasso di successo fino al 99% dopo soli sei tentativi. L’autenticazione vocale è sempre più utilizzata da aziende nel settore bancario online, nei call center e in altri contesti critici per la sicurezza. Consiste nel verificare l’identità dei clienti attraverso una “impronta vocale” presumibilmente unica. Quando ci si iscrive a questo tipo di autenticazione, viene richiesto di ripetere una frase con la propria voce. Il sistema estrae quindi una firma vocale unica da questa frase e la memorizza su un server. Successivamente, quando si effettuano tentativi di autenticazione, viene richiesto di ripetere una frase diversa e le caratteristiche vocali estratte vengono confrontate con l’impronta vocale salvata per determinare se l’accesso deve essere concesso. Purtroppo, i malintenzionati hanno subito compreso che è possibile utilizzare il cosiddetto “deepfake“, un software basato sull’apprendimento automatico, per generare copie convincenti della voce di una persona utilizzando anche solo pochi minuti di registrazione audio. Per contrastare questa minaccia, gli sviluppatori hanno introdotto “contromisure di spoofing” che sono in grado di distinguere tra una voce umana e una generata da un software.
I test di prova
Tuttavia, i ricercatori dell’Università di Waterloo hanno sviluppato un metodo che riesce ad aggirare queste contromisure di spoofing e può ingannare la maggior parte dei sistemi di autenticazione vocale Gli informatici di Waterloo sono riusciti ad individuare i marcatori nell’audio deepfake (ciò che rivela che l’audio è stato generato artificialmente da un computer) e hanno creato un programma che rimuove questi marcatori, rendendo l’audio indistinguibile da quello autentico. Durante un test condotto sul sistema di autenticazione vocale di Amazon Connect, i ricercatori hanno ottenuto un tasso di successo del 10% in un attacco di soli quattro secondi, che è salito oltre il 40% in meno di trenta secondi. Con sistemi di autenticazione vocale meno sofisticati, sono addirittura riusciti a ottenere un tasso di successo del 99% entro sei tentativi. Andre Kassis, dottorando in sicurezza informatica e autore principale dello studio, afferma che le contromisure esistenti per lo spoofing sono gravemente carenti e che l’unico modo per creare un sistema sicuro è pensare come un hacker. Il suo supervisore, il professor Urs Hengartner, aggiunge che è necessario considerare l’implementazione di misure di autenticazione aggiuntive o più robuste per le aziende che si affidano all’autenticazione vocale come unico fattore di autenticazione. Questa scoperta solleva importanti questioni sulla sicurezza dei sistemi di autenticazione vocale e sottolinea la necessità di continuare a sviluppare nuove soluzioni e migliorare le attuali contromisure per proteggere le informazioni personali e finanziarie dei clienti.