News

Mit Machine Learning tricksen Hacker Stimmerkennung aus: Kein geeigneter Passwortersatz

(Foto: Shutterstock)

Sicherheitsforschern ist es gelungen, per Machine Learning synthetisch erzeugten Stimmen die Stimmerkennung von Apples Siri und einem Microsoft-Cloud-Service auszutricksen.

Ausgerechnet Finanzinstitute sind Vorreiter bei der sogenannten Sprachbiometrie. Dabei wird, vereinfacht gesagt, die Stimme des Nutzers zum Passwort, mit dem dieser per Telefon seine Identität verifiziert. Bei der US-Bank Charles Schwab etwa ist man der Überzeugung, dass die Stimme wie ein Fingerabdruck einzigartig ist. Das allerdings konnten zwei Sicherheitsforscher jetzt widerlegen, wie Heise Online berichtet.

Bei der Hackerkonferenz Defcon haben John Seymour und Azeem Aqil demonstriert, wie sie mit Machine Learning synthetisch erzeugte Stimmen so echt klingen lassen können, dass diese professionelle Stimmerkennungstools austricksten. Konkret wurden Apples Siri und Microsofts Cloud-Lösung Azure-Speaker-Recognition getäuscht. Beide Systeme ließen sich vorspiegeln, dass die synthetischen Stimmen einem der beiden Forscher gehörten.

Stimmerkennung: Neuronales Netz trickst Systeme mit synthetischer Stimme aus

Die Salesforce-Mitarbeiter Seymour und Aqil haben für ihren Angriffsversuch das Text-to-Speech-Tool Tacotron 2 von Google verwendet. Anschließend fütterten sie das Programm mit Daten aus den Open-Source-Sprachdatenbanken Blizzard und LJ Speech, bis das neuronale Netz gut genug war. Dann wurde der Datensatz durch nachbearbeitete Sprechproben des potenziellen Opfers ersetzt – die Sprachfetzen wurden verlangsamt und beschleunigt. So konnten die Forscher aus vergleichsweise kurzen Sprachproben viel Material machen.

Stimmerkennung als Passwort.

Bei der US-Bank Charles Schwab ist man der Überzeugung, die Stimmerkennung sei so sicher wie der Fingerabdruck. (Screenshot: Schwab/t3n.de)

Mit Erfolg, denn die Systeme von Apple und Microsoft fielen auf die Täuschung herein. Das ist normalerweise weniger ein Problem, kann aber problematisch werden, wenn – wie bei Schwabs Voice-ID-Service – die Stimmen als Passwort verwendet werden. Microsofts Azure-Dienst soll etwa zur Authentifizierung dienen. Bei Siri wird das zwar nicht explizit angeboten, der Apple-Assisten soll aber verschiedene Sprecher unterscheiden können.

Ebenfalls interessant: Homepod – Was Apples Siri-Lautsprecher kann – und was nicht

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.