Цифровые помощники в Калифорнии стали пытаться купить игрушки после ТВ-репортажа об Amazon Echo

Информационная безопасность, Интернет вещей, Гаджеты

Бойся ~~данайцев~~ гаджетов, дары приносящих

Виртуальных ассистентов становится все больше. Siri, Cortana, Alexa, не говоря уже о недавнем изобретении японских разработчиков, помогают людям жить и работать. Цифровые помощники способны подсказать правильный путь в заданном направлении, могут найти близлежащие рестораны и заправки, они даже помогают любителям шопинга. В последнем случае виртуальные ассистенты иногда проявляют даже чрезмерное рвение.

Среди отличившихся в последнее время — система Alexa, связь с которой, в частности, осуществляется через умную колонку Amazon Echo. Эта аудиосистема появилась достаточно давно, и с тех пор она полюбилась многим, особенно в США.

«Она — моя правая рука. Например, когда я готовлю, выбирая новое блюдо, она помогает мне», — говорит Меяли Санчес (Meyali Sanchez), одна из пользователей системы Amazon Echo. «Она» — это цифровой ассистент Alexa, способная подстраиваться под привычки и голос человека. Система способна управлять музыкой и библиотекой видеофайлов в сети. Alexa будит пользователя по утрам, контролирует работу термостата, выключает, или, наоборот включает систему освещения в заданное время. Если владелец занят и не может отправиться в магазин сам, он дает указание Alexa и та приобретает нужную вещь или услугу самостоятельно. Были бы деньги на карте — а система решит все остальное.

Правда, работа системы вызывает вопросы у специалистов по кибербезопасности. Она удобна, но вот защита ее оставляет желать лучшего. Собственно, это касается не только Alexa или Amazon Echo, но и других гаджетов и сервисов из мира «Интернета вещей». Пользуясь тем, что разработчики уделяют больше внимания дизайну и функциональности своих разработок, чем их безопасности, киберпреступники могут, например, создавать из IoT девайсов ботнеты (об этом неоднократно публиковались материалы на Habrahabr и Geektimes).

Проблема, в частности, в том, что многие цифровые помощники не могут отличить своего владельца от чужого человека. Да, они стараются подстроиться под «своего» пользователя, но при определенном стечении обстоятельств могут случаться казусы. «Эти устройства не распознают именно ваш голос, так что может случиться так, что ваш ребенок или гость случайно закажет что-то по интернету, просто разговаривая по телефону», — говорит Стивен Кобб (Stephen Cobb), представитель ESET North America.

Именно это и случилось на днях с пользователями системы Amazon Echo из Сан-Диего, которые смотрели местный телеканал CW6. Его ведущие, Джим Паттон и Линда Мартин разговаривали с ребенком, который случайно заказал кукольный домик, дав команду Alexa. Ситуация интересная, и репортаж был тоже занимательным. Речь шла о том, что в начале этого месяца американца по имени Меган Найтцел получила на дом неожиданный заказ — большой кукольный домик за 170 долларов США и около двух килограммов печенья. Как оказалось, заказ сделала дочка Брук, которой недавно исполнилось шесть лет. Она попросила у Alexa кукольный домик и печенье, получив немного позже все желаемое. Мать девочки сразу же изменила настройки безопасности устройства, добавив необходимость подтверждения при покупке. Журналисты обсуждали случившееся, и Паттон произнес следующее: «Мне так понравилась девочка, которая произнесла „Alexa, закажи мне кукольный домик".

Сразу же после упомянутой выше фразы из репортажа, Alexa в регионе вещания канала начала заказывать кукольные домики для многих владельцев Amazon Echo. Это произошло не со всеми пользователями, но и происшедшем рассказывают в сети многие. Правда, неясно, смогли ли виртуальные помощники потратить реальные средства, которые были списаны с кредитных карт своих владельцев, или же это были лишь попытки заказать услышанное.

Тем не менее, эксперты о сетевой безопасности утверждают, что эта ситуация не первая и не последняя, поскольку за работой своих IoT устройств необходимо следить.

Тот же специалист из ESET заявил следующее: „Все эти устройства из мира интернета вещей имеют определенный уровень доступа к сетевым ресурсам, и этот доступ активен на многих системах благодаря специфическому набору настроек. Поэтому вам необходимо зайти в настройки и посмотреть, что там и как, изменив нужные параметры в случае необходимости". Кстати, проблемы могут быть не только с виртуальными покупками. Не расслышав своего пользователя, колонка может рассказать много всего ненужного, например, ребенку.

Сейчас, по словам Кобба, Федеральная торговая комиссия США (Federal Trade Commission, FTC) занимается расследованием этого и подобных ему случаев. Представители комиссии хотят удостовериться, что устройства, слушающиеся голосовых команд, безопасны. „Технологии постепенно усложняются, вскоре устройства смогут идентифицировать определенных людей и слушать только пользователей, которые имеют доступ", — говорит Кобб. Собственно, это даже не будущее — такие системы уже есть, хотя их работу еще нельзя назвать очень уж надежной.

Еще один способ применения возможностей цифровых ассистентов

Что касается Amazon, то эта компания заявляет о возможности отключения функции покупок по голосовой команде пользователя. В настройках Alexa можно не только отключить эту функцию, но и выставить подтверждение для каждой попытки купить что-то в интернете при помощи виртуального помощника.

Реклама помогает поддерживать и развивать наши сервисы

Подробнее

Яндекс.Директ

Etvnet – Русское ТВ в Канаде

etvnet.comШирокий выбор каналов и большой архив. Быстрое и легкое подключение.Каналы Новости Фильмы Сериалы

Объявление скрыто.

Прокси для постинга X-Parser

proxy-sale.comПерсональные прокси для X-Parser. Стабильные прокси стран RU UA EU US!Болеше 100 сетей Скорость 100 мб/с Подбор IP под цели Бесплатный тест

Объявление скрыто.

Изучение английского языка.

hosgeldi.comБесплатные уроки и упражнения помогут в изучении английского языка.

Объявление скрыто.

Комментарии (25)

POS_troi 8 января 2017 в 20:34 (комментарий был изменён)

+3

но и выставить подтверждение для каждой попытки купить что-то в интернете при помощи виртуального помощника

Только эта настройка должна быть по умолчанию настроена на подтверждение или вообще быть выключенной до момента осознанного включения юзером — как и добрая половина настроек.
- plm 9 января 2017 в 00:26
  
  0
  
  Вот очень интересно, как это подтверждение устроено? У этой умной колонки клавиатуры-то нет, насколько я понимаю. То есть все подтверждения ребенок может подслушать и использовать в следующий раз самостоятельно.
  - tersuren 9 января 2017 в 02:32
    
    0
    
    Вот так устроено https://goo.gl/photos/q8t1NDkyQkUcop1v5 Надо произнести 4х циферный код когда девайс попросит подверждения. То есть если девайс думает что вы покупаете, то он спрашивает «ну чё, покупаем то-то и то-то?» И вы должны произнести эти 4 цифры. Если нет, то покупка отменяется.
- dobergroup 9 января 2017 в 01:19
  
  0
  
  В веб-интерфейсах роутеров тоже регулярно написано что-то типа «пожалуйста, не оставляйте пароль по-умолчанию»… Не помагает ведь
  - zoonman 9 января 2017 в 01:36
    
    0
    
    Не вижу проблем при изначальной прошивке устройств каждому присваивать уникальный пароль и клеить прямо на устройство наклейку с этим паролем.
    - LSDtrip 9 января 2017 в 02:55
      
      0
      
      Кроме той, что делать, если наклейка стерлась? Можно, конечно, оставить дефолтный пароль admin, а предустановленный уже ставить тот, что на наклейке, тогда можно будет сбросить кнопкой на пароль admin, но большинство юзверей ведь все равно его скинет за первый месяц использования по причине «забыл пароль, а двигать роутер, чтоб глянуть наклейку лень». Ну и всё же, чем плох пароль admin? Админка роутера только из локалки доступна, а если ты уже в локалке, то нет смысла ломать роутер.
      - dobergroup 9 января 2017 в 03:15
        
        0
        
        Админка роутера только из локалки доступна,
        
        Я мало встречал пользователей, которые смогли внятно объяснить, зачем именно они открыли доступ к админке снаружи. Но на вскидку, 20% это делают, как только первый раз видят эту опцию.
        
        а если ты уже в локалке, то нет смысла ломать роутер
        
        В локалке я могу быть временно, а доступ к ней хочу постоянный…
      - alexk24 9 января 2017 в 04:48
        
        0
        
        Не совсем. Не так давно мелькала новость о том как такие роутеры ломают при помощи яваскрипта из пользовательского браузера.
      - zoonman 9 января 2017 в 04:56
        
        0
        
        За свои 10 лет работы со всякими сетевыми железяками, я ни разу не видел, чтобы на них стерлась какая-то наклейка.
        В крайнем случае можно делать горячий оттиск прямо на корпусе. Тут уж точно надо постараться, чтобы стереть.
        Дефолтный пароль и есть зло. Как только пароль сбросили, то устройство становится уязвимым.
        
        Лично я в этом плане солидарен с тем, что установка и настройка таких устройств должна оставаться сложной для обывателей, либо все должно работать по принципу Plug&Play. Вот тебе роутер, вот тебе пароль к Wi-Fi. Не нравится пароль, читай инструкцию, разбирайся с тем, как там открыть этот IP адрес в браузере и так далее. Это будет отсекать кретинов, которые могут превращать свои роутеры в инструмент загаживания сети.
    - dobergroup 9 января 2017 в 03:21
      
      0
      
      Честно, затрудняюсь предположить коммерческие издержки. Вон, некоторые китайцы даже imei одинаковые шьют, потому что проще расклонировать на потоке, а не заниматься персонафикацией, даже автоматизированной.
      Я встречал у какого-то производителя (ZyXEL, что ли) именно такой подход, с наклейками. Но на поздних ревизиях той же модели этого уже не было.
      - zoonman 9 января 2017 в 05:08
        
        0
        
        Я недавно D-Link покупал, правда в США, тут отдельно две наклеечки с адресом и паролями. Все, как положено, хочешь, на корпус приклей, хочешь отдельно храни.
        
        Китайцы просто экономят на всем подряд, не задумываясь о последствиях.
        
        Лично я считаю, что подобные вещи должны быть стандартизованы и все, что не соблюдает стандарт должно быть запрещено к использованию неквалифицированными людьми.
        
        Дела в том, что пока эти вещи попадают в руки профессионалов, здесь все нормально. Мы и пароль поменяем и правила можем в файерволе подправить. Но в руках обычных людей это превращается в "Интернет". Поэтому нужно либо предотвращать доступ неквалифицированных людей, либо ограничивать их возможности, например требовать сменить пароль с обязательными условиями на сложность и т.п.
maniacscientist 8 января 2017 в 21:35

–14

Задорнов был прав, чо
- Vnuchok 8 января 2017 в 23:41
  
  –1
  
  А Вы в курсе, что г-н Задорнов отрёкся от своих слов «Ну тууупыыыые эти американцы!»?
  - foxmuldercp 9 января 2017 в 00:27 (комментарий был изменён)
    
    +1
    
    Серьезно?
    - Barafu 9 января 2017 в 03:13
      
      +1
      
      Ну да. Американцы пригрозили, что не пустят, и он сразу передумал. Конъюнктура-с.
MTyrz 8 января 2017 в 22:16

+1

Так вот ты какой, дедушка Мороз!
WeslomPo 8 января 2017 в 23:07

0

Вспоминается рассказ Рэя Брэдбери — Вельд.
abyrkov 8 января 2017 в 23:07

+2

«После крика „покончи с собой" взорвалось 13 голосовых ассистентов. Теперь судят за терракт и моральный ущерб»
qw1 8 января 2017 в 23:33

+3

Нужна дополнительная защита, чтобы у каждого устройства было своё уникальное кодовое слово.

— Алекса, закажи мне билеты на самолёт.
— А волшебное слово?
— БЕГОМ, &^%!!!
ns3230 9 января 2017 в 00:02

0

Я правильно понял: журналист сказал в эфире фразу, и система, которая находилась в одной комнате с телеком, попыталась сделать покупку, так как тембр голоса ведущего оказался очень похож на голос кого-то из членов семьи?
- KivApple 9 января 2017 в 02:05
  
  0
  
  Не совсем — там нет никакой проверки тембра голоса и система отозвалась бы на любой голос, который сказал правильную фразу. И я не уверен, что это можно надёжно пофиксить — даже человек может спутать два похожих голоса.
  - ns3230 9 января 2017 в 02:16
    
    0
    
    Ясно. А мне почему-то показалось, что есть какие-то средства распознания. Я не спец по звуку, но мне кажется, что организовать проверку по голосу вполне можно в теории. Пусть и не с точностью 100 %, но ведь частотный спектр голлса у каждого человека уникален, и если прикрутить грубый его анализ — можно сделать так, чтобы система понимала, кто говорит: мама, папа или ребенок. Конечно, "дядя Вася" с похожим голосом мог бы выдать себя за пару, но если левый мужик вваливается в дом и начинает вести себя по хозяйски — тут в 99 % явный повод вызывать копов, вне зависимости, что именно он делает)
    - dobergroup 9 января 2017 в 03:06
      
      0
      
      Голос, в зависимости от кучи обстаятельств меняется в широком диапазоне (темб, темп, etc.). Так что грубая проверка как раз не подойдет, высокая вероятность ложных отказов. Кому нужен ассистент, который слушаться не будет?
dobergroup 9 января 2017 в 01:16

+1

Какая прекрасная рекурсия
Maccimo 9 января 2017 в 02:20

0

Люди, доверяющие роботам, должны страдать.