Una nueva tecnología implantada en un collar, anteojos o auriculares permitiría dar seguridad y eliminar las vulnerabilidades de electrónicos que utilizan sistemas de reconocimiento y de ejecución por comandos de voz.
La tecnología, desarrollada en Universidad de Michigan, se llama VAuth y registra continuamente las vibraciones del habla inducida en el cuerpo y los empareja con el sonido de la voz del usuario para crear una firma única y segura.
El hablar con los electrónicos se ha convertido en una manera común, e incluso esencial, para darles órdenes, con asistentes de voz conectando a la gente a sus dispositivos móviles, casas y vehículos cada vez más.
Pero la voz, los sonidos, son lo que los investigadores llaman un “canal abierto” que puede ser fácilmente falsificado por imitadores mediocres y piratas informáticos sofisticados por igual.
“Cada vez más, la voz está siendo utilizada como una característica de seguridad pero en realidad tiene enormes agujeros,” dijo Kang Shin, profesor de informática e ingeniería eléctrica en la UM. “Si un sistema está usando sólo su firma de voz, puede ser muy peligroso. Creemos que tiene que tener un segundo canal para autenticar quién es el dueño de la voz.”
El proceso de hablar crea vibraciones que se pueden detectar en la piel de la cara de una persona, la garganta o el pecho. El sistema VAuth funciona aprovecha la consistencia instantánea entre las señales del acelerómetro en el token de seguridad portátil y el micrófono en el dispositivo electrónico. Sólo se puede utilizar la autenticación de voz con el dispositivo cuando se está usando el token de seguridad.
El equipo ha construido un prototipo utilizando un acelerómetro que mide el movimiento, y un transmisor Bluetooth, que envía la señal de vibración al micrófono en el dispositivo del usuario. También han desarrollado algoritmos de correspondencia y software para Google Now.
“VAuth es el primer intento serio para proteger este servicio, asegurando que su asistente de voz sólo va a escuchar sus comandos“, dijo Shin. “Ofrece la seguridad física, que es difícil de comprometer incluso para los atacantes sofisticados. Sólo con esta garantía se puede puede confiar en un asistente de voz como personal y seguro, especialmente en escenarios como la banca y seguridad en el hogar.”
Eso es un cambio drástico de los existentes mecanismos biométricos de voz, dijo Kassem Fawaz, quien trabajó en el proyecto como un estudiante de doctorado en la UM y ahora es un profesor asistente en la Universidad de Wisconsin.
“VAuth supera un problema clave de la biometría de voz“, dijo. “Una biometría de voz, similar a una huella digital, no es fácil de mantener protegida. De algunas grabaciones de voz del usuario, un atacante puede suplantarla utilizando la generación de una huella de voz.
“Los usuarios pueden hacer poco para recobrar su seguridad, ya que no pueden simplemente cambiar su voz. Por otro lado, cuando pierden VAuth por cualquier razón, el usuario puede simplemente desvincularlo para evitar que un atacante use el dispositivo.”
El equipo probó VAuth con 18 usuarios y 30 comandos de voz, logrando precisión en la detección de 97% y menos del 0,1% tasa de falsos positivos, independientemente de su posición en el cuerpo y el idioma del usuario, acento o incluso movilidad. Los investigadores dicen que también frustra con éxito diversos ataques prácticos, tales como ataques de repetición, ataques de voz destrozados o ataques de suplantación.
Los investigadores también encuestaron a 952 personas para evaluar su disposición a usar un token de seguridad.
“El 70% dijeron que están dispuestos probar VAuth seriamente en una de las tres configuraciones que hemos desarrollado, y la mitad dijeron que están dispuestos a pagar $25 más por la tecnología“, dijo Huan Feng, que trabajó en el proyecto como un estudiante graduado y actualmente trabaja para Facebook.
Un estudio sobre VAuth, titulado “Continuous Authentication for Voice Assistants,” será presentado el 19 de octubre en la Conferencia Internacional sobre Computación Móvil y Redes, MobiCom 2017, en Snowbird, Utah. El trabajo fue apoyado por la Fundación Nacional de Ciencia. Los investigadores han solicitado protección de patentes, y están buscando socios de comercialización para ayudar a llevar la tecnología al mercado.