Бойся
Виртуальных ассистентов становится все больше. Siri, Cortana, Alexa, не говоря уже о недавнем изобретении японских разработчиков, помогают людям жить и работать. Цифровые помощники способны подсказать правильный путь в заданном направлении, могут найти близлежащие рестораны и заправки, они даже помогают любителям шопинга. В последнем случае виртуальные ассистенты иногда проявляют даже чрезмерное рвение.
Среди отличившихся в последнее время — система Alexa, связь с которой, в частности, осуществляется через умную колонку Amazon Echo. Эта аудиосистема появилась достаточно давно, и с тех пор она полюбилась многим, особенно в США.
«Она — моя правая рука. Например, когда я готовлю, выбирая новое блюдо, она помогает мне», — говорит Меяли Санчес (Meyali Sanchez), одна из пользователей системы Amazon Echo. «Она» — это цифровой ассистент Alexa, способная подстраиваться под привычки и голос человека. Система способна управлять музыкой и библиотекой видеофайлов в сети. Alexa будит пользователя по утрам, контролирует работу термостата, выключает, или, наоборот включает систему освещения в заданное время. Если владелец занят и не может отправиться в магазин сам, он дает указание Alexa и та приобретает нужную вещь или услугу самостоятельно. Были бы деньги на карте — а система решит все остальное.
Правда, работа системы вызывает вопросы у специалистов по кибербезопасности. Она удобна, но вот защита ее оставляет желать лучшего. Собственно, это касается не только Alexa или Amazon Echo, но и других гаджетов и сервисов из мира «Интернета вещей». Пользуясь тем, что разработчики уделяют больше внимания дизайну и функциональности своих разработок, чем их безопасности, киберпреступники могут, например, создавать из IoT девайсов ботнеты (об этом неоднократно публиковались материалы на Habrahabr и Geektimes).
Проблема, в частности, в том, что многие цифровые помощники не могут отличить своего владельца от чужого человека. Да, они стараются подстроиться под «своего» пользователя, но при определенном стечении обстоятельств могут случаться казусы. «Эти устройства не распознают именно ваш голос, так что может случиться так, что ваш ребенок или гость случайно закажет что-то по интернету, просто разговаривая по телефону», — говорит Стивен Кобб (Stephen Cobb), представитель ESET North America.
Именно это и случилось на днях с пользователями системы Amazon Echo из Сан-Диего, которые смотрели местный телеканал CW6. Его ведущие, Джим Паттон и Линда Мартин разговаривали с ребенком, который случайно заказал кукольный домик, дав команду Alexa. Ситуация интересная, и репортаж был тоже занимательным. Речь шла о том, что в начале этого месяца американца по имени Меган Найтцел получила на дом неожиданный заказ — большой кукольный домик за 170 долларов США и около двух килограммов печенья. Как оказалось, заказ сделала дочка Брук, которой недавно исполнилось шесть лет. Она попросила у Alexa кукольный домик и печенье, получив немного позже все желаемое. Мать девочки сразу же изменила настройки безопасности устройства, добавив необходимость подтверждения при покупке. Журналисты обсуждали случившееся, и Паттон произнес следующее: «Мне так понравилась девочка, которая произнесла „Alexa, закажи мне кукольный домик“.
Сразу же после упомянутой выше фразы из репортажа, Alexa в регионе вещания канала начала заказывать кукольные домики для многих владельцев Amazon Echo. Это произошло не со всеми пользователями, но и происшедшем рассказывают в сети многие. Правда, неясно, смогли ли виртуальные помощники потратить реальные средства, которые были списаны с кредитных карт своих владельцев, или же это были лишь попытки заказать услышанное.
Тем не менее, эксперты о сетевой безопасности утверждают, что эта ситуация не первая и не последняя, поскольку за работой своих IoT устройств необходимо следить.
Тот же специалист из ESET заявил следующее: „Все эти устройства из мира интернета вещей имеют определенный уровень доступа к сетевым ресурсам, и этот доступ активен на многих системах благодаря специфическому набору настроек. Поэтому вам необходимо зайти в настройки и посмотреть, что там и как, изменив нужные параметры в случае необходимости“. Кстати, проблемы могут быть не только с виртуальными покупками. Не расслышав своего пользователя, колонка может рассказать много всего ненужного, например, ребенку.
Сейчас, по словам Кобба, Федеральная торговая комиссия США (Federal Trade Commission, FTC) занимается расследованием этого и подобных ему случаев. Представители комиссии хотят удостовериться, что устройства, слушающиеся голосовых команд, безопасны. „Технологии постепенно усложняются, вскоре устройства смогут идентифицировать определенных людей и слушать только пользователей, которые имеют доступ“, — говорит Кобб. Собственно, это даже не будущее — такие системы уже есть, хотя их работу еще нельзя назвать очень уж надежной.
Еще один способ применения возможностей цифровых ассистентов
Что касается Amazon, то эта компания заявляет о возможности отключения функции покупок по голосовой команде пользователя. В настройках Alexa можно не только отключить эту функцию, но и выставить подтверждение для каждой попытки купить что-то в интернете при помощи виртуального помощника.
Комментарии (65)
maniacscientist
08.01.2017 21:35-20Задорнов был прав, чо
Vnuchok
08.01.2017 23:41+1А Вы в курсе, что г-н Задорнов отрёкся от своих слов «Ну тууупыыыые эти американцы!»?
foxmuldercp
09.01.2017 00:27+2Серьезно?
Barafu
09.01.2017 03:13+4Ну да. Американцы пригрозили, что не пустят, и он сразу передумал. Конъюнктура-с.
abyrkov
08.01.2017 23:07+1«После крика „покончи с собой“ взорвалось 13 голосовых ассистентов. Теперь судят за терракт и моральный ущерб»
qw1
08.01.2017 23:33+7Нужна дополнительная защита, чтобы у каждого устройства было своё уникальное кодовое слово.
— Алекса, закажи мне билеты на самолёт.
— А волшебное слово?
— БЕГОМ, &^%!!!
LexB
09.01.2017 15:05+1Вот непонятно почему не все предоставляют возможность давать помощникам уникальные имена, например, Джарвис, Моцарт, Трамп и т.д. Почему нельзя вместо «ok google ...» говорить «Зиночка, установи будильник в 7 утра»?
DrGluck
09.01.2017 18:58+1По поводу «Зиночки» нужно аккуратнее, не все жёны оценят. Вот прохладная былина по этому поводу.
Лет десять назад тестировали мы для военных систему оповещения, которая доводила сигналы по обычным городским телефонам, т. е. автодозвон. Записали тестовую фразу приятным женским голосом, что-то вроде «Внимание! Работает система оповещения. Это тестовый сигнал, действий не предпринимать...» и. т. д. Военные стали это дело испытывать, обычно по вечерам, чтоб личный состав был дома. Через некоторое время офицеры начали жаловаться, что жёны снимают трубку телефона, слышат там женский голос, а дальше устраивают скандал на тему «кобель, знаю я твоё оповещение». В итоге фразу переписали мужским голосом. Хотите верьте, хотите нет, но это реальная история. Нам, программистам, даже в голову не могло прийти, что для кого-то будет важно каким голосом произносится эта фраза.
gsaw
09.01.2017 19:13Наверное так проще. Основное распознавание речи происходит в облаке, на серверах гугля или амазона. Там и мощностей больше, и апдейты проще делать. Только активирующая фраза распознается самим помошником. Уж не знаю как это делается, но видимо зашито намертво, раз не дают выбирать имена. Устройство само тупое, в нем процессор ARM Cortex-A8, 1Ггц. Хотя не понятно тоже, почему не могут сделать как плагин?
qw1
09.01.2017 21:59Я думаю, это маркетинг и продвижение бренда. Чтобы было заметно окружающим, как логотип на корпусе ноутбука/смартфона.
ns3230
09.01.2017 00:02Я правильно понял: журналист сказал в эфире фразу, и система, которая находилась в одной комнате с телеком, попыталась сделать покупку, так как тембр голоса ведущего оказался очень похож на голос кого-то из членов семьи?
KivApple
09.01.2017 02:05+1Не совсем — там нет никакой проверки тембра голоса и система отозвалась бы на любой голос, который сказал правильную фразу. И я не уверен, что это можно надёжно пофиксить — даже человек может спутать два похожих голоса.
ns3230
09.01.2017 02:16Ясно. А мне почему-то показалось, что есть какие-то средства распознания. Я не спец по звуку, но мне кажется, что организовать проверку по голосу вполне можно в теории. Пусть и не с точностью 100 %, но ведь частотный спектр голлса у каждого человека уникален, и если прикрутить грубый его анализ — можно сделать так, чтобы система понимала, кто говорит: мама, папа или ребенок. Конечно, "дядя Вася" с похожим голосом мог бы выдать себя за пару, но если левый мужик вваливается в дом и начинает вести себя по хозяйски — тут в 99 % явный повод вызывать копов, вне зависимости, что именно он делает)
dobergroup
09.01.2017 03:06Голос, в зависимости от кучи обстаятельств меняется в широком диапазоне (темб, темп, etc.). Так что грубая проверка как раз не подойдет, высокая вероятность ложных отказов. Кому нужен ассистент, который слушаться не будет?
gsaw
09.01.2017 12:09Читал, что Google Home менее чувствителен к чужим голосам из телевизора. Его можно натренеровать на свое произношение активирующей фразы. У Amazon Echo, такой настройки нет, я не нашел, хотя судя по всему раньше была. У меня Алекса тоже в стойку встает, если в соседней комнате в новостях про нее говорят. Прикольно наблюдать, как она «вертит головой» прислушиваясь, если услышит свое имя. Хорошо если ей ничего не послышится, что она могла бы принять за команду. Я к примеру создал у себя группу устройства «All». Что бы все отключать по команде «turn all off». Наверное не я один создал у себя группу с таким именем. Или как новый тип рекламы. В конце ролика будут просить Алексу купить %SOMESHIT%.
severgun
09.01.2017 14:31-1Читайте больше газеты. У меня нексус включается даже когда никакого «Ок, Гугл» не звучало. Не говоря уже о принадлежности к владельцу.
kAIST
09.01.2017 19:49+1Странно, у меня никогда не включался, даже если эту фразу произносил не я. Возможно потому что я настроил именно на свой голос.
tUUtiKKi13
09.01.2017 11:34Достаточно сделать на верхней панельке устройства
такой модный сейчассчитыватель отпечатка пальца для подтверждения покупок.
m0Ray
09.01.2017 14:37+1Может, немножко не в тему, но я давно считаю, что биометрия вообще — ересь. Не может _личное_ устройство полагаться на что-либо, якобы характерное для определённой _личности_. Тот, кто покупает или включает в своих гаджетах «голосовых помощников» — вообще сам себе злобный буратино.
Голос подделать можно вообще без технических средств. Подделка отпечатков пальцев потребует некоторых недорогих компонентов. Что ещё можно недорого и быстро измерить/распознать? Рисунок радужной оболочки глаза? Смешно, камера не отличит реальный глаз от напечатанного на бумаге или (в тяжёлом случае с датчиком глубины) контактной линзы с нужным рисунком. То же самое с лицом, бумага или 3D-печать как самый тяжёлый случай.
Мой тезис: у человека нет и не может быть иного удостоверения личности, кроме самой личности, которая может оперировать личной информацией. Параметры тела можно симулировать или менять.
old_bear
09.01.2017 19:19Я так понимаю, что Трамп просто сказал в один прекрасный момент: «Алекса, я так хочу выиграть выборы!».
А валят всё на русских хакеров теперь.
Tulen_2000
09.01.2017 19:39Мне тут не совсем понятно, как реализован механизм покупки. Девочка сказала: "купи мне кукольный домик". Но их же огромное количество самых разных, значит надо было выбрать, скорее всего на экране компьютера, а потом еще, как минимум, выбрать способ доставки и подтвердить.
Значит, девочка могла так же точно кликнуть на контекстную рекламу и заказать все и без алексы.
А еще могла взять кредитку со стола и заказать по телефону.
Так в алексе ли дело?
Еще странно, что посылка стала для родителей сюрпризом. Они не получали емейлы с подтверждением заказа?
Markscheider
09.01.2017 19:39У меня (и не только у меня, видимо) аналогичное происходит с яндекснавигатором. Он делает стойку на ключевую фразу «Яндекс», а из-за шума в машине часто принимает за нее совсем другое слово. Самая веселуха начинается, когда в новостях упоминают эту компанию, а навигатор это слышит.
Это я все к тому, что проблема глобальная и малораспространенность Алексы в родных пенатах еще не гарантирует иммунитета от проблем подобного рода.kAIST
09.01.2017 19:51Яндекс же сменил ключевую фразу на «слушай Яндекс», ложных срабатываний у меня после этого не стало совсем.
Markscheider
09.01.2017 20:07Вполне возможно, что вы правы. Я яндексонавигатором давно не пользовался по ряду причин. Главное теперь при нем не сказать жене: "слушай, а яндекс навигатор хуже, чем гугл!" :)
webk
09.01.2017 19:40Устройство от Амазон, помогает делать покупки на Амазоне. По умолчанию подтверждение о покупки отключено, а почему не предположить, что как раз и есть та фича ради которой и придумывали это устройство.
mrsantak
09.01.2017 20:08Покупку можно и вернуть в магазин. А уж тем более сделанную таким образом.
Меня вот больше интересует как вообще такие покупки делаются. Ну т.е. на запрос «кукольный домик» в amazon'е должно быть огромное количество лотов появляться. Неужели Alexa просто покупает первый попавшийся? И это реально устраивает пользователей?
askv
09.01.2017 22:41Похоже, этот мир погибнет не от злого умысла, а от случайного стечения обстоятельств, при которых активируется ядерная кнопка…
POS_troi
Только эта настройка должна быть по умолчанию настроена на подтверждение или вообще быть выключенной до момента осознанного включения юзером — как и добрая половина настроек.
plm
Вот очень интересно, как это подтверждение устроено? У этой умной колонки клавиатуры-то нет, насколько я понимаю. То есть все подтверждения ребенок может подслушать и использовать в следующий раз самостоятельно.
tersuren
Вот так устроено https://goo.gl/photos/q8t1NDkyQkUcop1v5 Надо произнести 4х циферный код когда девайс попросит подверждения. То есть если девайс думает что вы покупаете, то он спрашивает «ну чё, покупаем то-то и то-то?» И вы должны произнести эти 4 цифры. Если нет, то покупка отменяется.
port443
И откуда эти цифры? Из SMS? Если они не меняются каждый раз, ребёнок их повторит с одной попытки :)
ggrnd0
Вот если б код по sms высылался, это было бы безопасно. А еще на смартфоне скрыть текст оповещений на экране блокировки и установить пароль дял разблокировки…
А в текущей реализации будто вы пинкод от карточки стоя у банкомата надиктовываете.
Пара заказов и ваш сосед в панельном доме сможет пиццу заказывать за ваш счет.
dobergroup
В веб-интерфейсах роутеров тоже регулярно написано что-то типа «пожалуйста, не оставляйте пароль по-умолчанию»… Не помагает ведь
zoonman
Не вижу проблем при изначальной прошивке устройств каждому присваивать уникальный пароль и клеить прямо на устройство наклейку с этим паролем.
LSDtrip
Кроме той, что делать, если наклейка стерлась? Можно, конечно, оставить дефолтный пароль admin, а предустановленный уже ставить тот, что на наклейке, тогда можно будет сбросить кнопкой на пароль admin, но большинство юзверей ведь все равно его скинет за первый месяц использования по причине «забыл пароль, а двигать роутер, чтоб глянуть наклейку лень». Ну и всё же, чем плох пароль admin? Админка роутера только из локалки доступна, а если ты уже в локалке, то нет смысла ломать роутер.
dobergroup
Я мало встречал пользователей, которые смогли внятно объяснить, зачем именно они открыли доступ к админке снаружи. Но на вскидку, 20% это делают, как только первый раз видят эту опцию.
В локалке я могу быть временно, а доступ к ней хочу постоянный…
vlivyur
Тыкают, визуального эффекта никакого — остаётся включенным навечно.
alexk24
Не совсем. Не так давно мелькала новость о том как такие роутеры ломают при помощи яваскрипта из пользовательского браузера.
zoonman
За свои 10 лет работы со всякими сетевыми железяками, я ни разу не видел, чтобы на них стерлась какая-то наклейка.
В крайнем случае можно делать горячий оттиск прямо на корпусе. Тут уж точно надо постараться, чтобы стереть.
Дефолтный пароль и есть зло. Как только пароль сбросили, то устройство становится уязвимым.
Лично я в этом плане солидарен с тем, что установка и настройка таких устройств должна оставаться сложной для обывателей, либо все должно работать по принципу Plug&Play. Вот тебе роутер, вот тебе пароль к Wi-Fi. Не нравится пароль, читай инструкцию, разбирайся с тем, как там открыть этот IP адрес в браузере и так далее. Это будет отсекать кретинов, которые могут превращать свои роутеры в инструмент загаживания сети.
LSDtrip
В любом случае должен быть вариант доступа к устройству без пароля, хотя б перемычкой на плате. Мало ли каким именно способом ты его потеряешь? Потерял корпус, осталась плата…
HunterSpy
Это все прибавит стоимости Роутеру, про горячий оттиск уникального пароля я вообще молчу, это может просто удвоить цену самых бюджетных вариантов. А про наклейку, это просто приличное усложненение производства.
Надо генерировать случайный пароль, затем прошивать его в роутер, потом клеить этикентку на корпус и быть 100% уверенным что этот корпус будет именно к этому устройству, а при условии что изготавливают железо и прошивают на одной фабрики, а корпуса собирать могут на другой то задача ставиться просто очень затратной.
Я просто не понимаю зачем это все надо? Если человек хочет безопастности он сам её настроит. За него это сделать не получиться потому что по не знанию он все равно все испортит.
Norno
Речь именно о тех «кому это не надо», т.к. это надо всем остальным, в самом простом случае: ботнет на таких устройствах который может устраивать DDoS.
Mitch
На tp-link недавно купленном была наклейка с паролем wifi кстати.
dobergroup
Честно, затрудняюсь предположить коммерческие издержки. Вон, некоторые китайцы даже imei одинаковые шьют, потому что проще расклонировать на потоке, а не заниматься персонафикацией, даже автоматизированной.
Я встречал у какого-то производителя (ZyXEL, что ли) именно такой подход, с наклейками. Но на поздних ревизиях той же модели этого уже не было.
zoonman
Я недавно D-Link покупал, правда в США, тут отдельно две наклеечки с адресом и паролями. Все, как положено, хочешь, на корпус приклей, хочешь отдельно храни.
Китайцы просто экономят на всем подряд, не задумываясь о последствиях.
Лично я считаю, что подобные вещи должны быть стандартизованы и все, что не соблюдает стандарт должно быть запрещено к использованию неквалифицированными людьми.
Дела в том, что пока эти вещи попадают в руки профессионалов, здесь все нормально. Мы и пароль поменяем и правила можем в файерволе подправить. Но в руках обычных людей это превращается в "Интернет". Поэтому нужно либо предотвращать доступ неквалифицированных людей, либо ограничивать их возможности, например требовать сменить пароль с обязательными условиями на сложность и т.п.
bobermai
Да, у Зухелей на Keenetic (по крайней мере, на 2) именно так — пароль индивидуальный для каждого устройства.
vlreshet
(не в целях рекламы) Купил недавно какой-то самый дешёвый TP-Link роутер — и в нём именно так, наклеечка с дефолтным паролем.
Ziptar
На мой взгляд эта проблема пользователей, и ситуация, описанная в статье — самим пользователям же на пользу. Будут внимательнее и ответственнее относиться к своим девайсам.
prog666
Амазону выгодно чтобы больше покупали, даже если случайно.
ilyapirogov
Так как я являюсь владельцем Amazon Echo, то думаю что стоит внести несколько уточнений.
Во-первых, голосовое подтверждение у Алексы включено всегда. Более того его нельзя отключить. Т.е. перед окончательным оформлением заказа, Алекса зачитывает полное название товара и его стоимость, а затем спрашивает действительно ли вы хотите это купить. По этому, это очень мало вероятно, что бы Алекса могла купить что-либо незаметно для хозяина.
Подтверждение-же про которое идет речь в статье — это пинкод, который можно самостоятельно задать в настройках. Т.е. вместо простого «Yes» нужно сообщить Алексе это число для подтверждения заказа.
Даже если заказ уже сделан, но еще не отправлен, то его можно отменить в один клик. Но даже если каким-то непостижимым образом сам факт заказа остался незамеченным и товар уже отправили/доставили, его можно бесплатно вернуть даже не выходя из дома при помощи UPS Pickup. Просто на следующий день к вам приходит почтальон и забирает посылку, а деньги возвращаются в полном размере (или скорее даже отменяется просто отменяется hold на карточке).
Так что на мой взгляд, это надуманная проблема.