التأمين بالبصمة الصوتية لم يعد يوفر أي مستوى أمان

⬤ طوّر باحثون في جامعة واترلو الكندية طريقة تخدع أنظمة المصادقة الصوتية بشكل شبه مضمون وعدد محاولات قليل.

⬤ استطاعت هذه الطريقة خداع أنظمة المصادقة الصوتية بنسبة نجاح وصلت إلى 99% بعد 6 محاولات فقط.

⬤ تستخدم العديد من المصارف والشركات المالية المصادقة الصوتية للتحقق من هوية عملائها عن بعد.

تستخدم العديد من الخدمات المصرفية التي تتم عن بعد ومراكز الاتصال أنظمة لمصادقة هوية العملاء عبر “بصمتهم الصوتية” التي يُفترض أنها فريدة لكل عميل. ولكن اكتشف علماء في جامعة واترلو الكندية مؤخراً طريقة لخداع أنظمة المصادقة الصوتية بنسبة نجاح تصل إلى 99% بعد ست محاولات فقط. مما يقلل من أمان المصادقة الصوتية بشكل كبير.

عند التسجيل في المصادقة الصوتية، يطلب النظام من العميل نطق عبارة معينة بصوته أكثر من مرة، ويستخرج النظام من هذه العبارة بصمة صوتية فريدة خاصة بالعميل، ثم يحفظها على خادم. وعند محاولة العميل المصادقة لاحقاً، يطلب النظام منه تكرار عبارة مختلفة وتتم مقارنة الميزات الصوتية المستخرجة من عبارة العميل ببصمة صوته المحفوظة في خادم النظام للتحقق من هوية العميل وإعطائه إذن للوصول.

لكن بعد بدء استخدام البصمات الصوتية، سرعان ما أدرك المخترقون أنه يمكنهم استخدام برامج الزيف العميق المدعومة بالتعلم الآلي لإنشاء نسخ مقنعة لأصوات الأشخاص من تسجيلات لأصواتهم قد تكون مدتها خمس دقائق فقط. ورداً على ذلك، قدم مطورون “إجراءات مضادة للانتحال” وهي عمليات تفحص العينات الصوتية وتكشف ما إذا كانت مولدة بواسطة إنسان أو بواسطة آلة.

والآن خلال بحث “اختراق المصادقة الصوتية الأساسية أمنياً”، طور باحثو جامعة واترلو طريقة تتجاوز الإجراءات المضادة للانتحال ويمكنها أن تخدع معظم أنظمة المصادقة الصوتية في غضون ست محاولات. وهذا عن طريق تحديد العلامات الذي تدل على كون الصوت مزيفاً، ثم تطوير برنامج يزيل هذه العلامات، مما يبطل قدرة أنظمة المصادقة الصوتية على تمييز الأصوات المولدة آلياً عن صوت المستخدم الأصلي.

اختبر الباحثون حديثاً برنامجهم على نظام المصادقة الصوتية في برنامج Amazon Connect. وكان معدل نجاح البرنامج في اختراق النظام 10% خلال هجوم واحد مدته أربع ثوانٍ، وارتفع هذا المعدل إلى أكثر من 40% في أقل من 30 ثانية. وعند اختبار البرنامج على بعض أنظمة المصادقة الصوتية الأقل تعقيداً، وصلت نسبة نجاح البرنامج إلى 99% بعد ست محاولات.

إذ قال كاتب البحث الرئيسي، طالب الدكتوراه في أمن الحاسوب والخصوصية أندريه كاسيس: “الطريقة الوحيدة لإنشاء نظام آمن هي التفكير كمخترق. وإلا فأنت تجلس منتظراً قدوم الهجمات.”

مع ذلك، أكد كاسيس أنه من الواضح أن المصادقة الصوتية أفضل من عدم وجود أي إجراءات أمنية إضافية، لكن الإجراءات المضادة للانتحال الحالية معيبة بشكل خطير. وأضاف المشرف على البحث، أستاذ علوم الحاسوب أورس هينجارتنر: ” نأمل من إثبات عدم أمان المصادقة الصوتية أن نجعل الشركات التي تعتمد على المصادقة الصوتية كعامل مصادقتها الوحيد تفكر في تبني إجراءات مصادقة إضافية أو أقوى.”