image

Stemidentificatiesysteem Australische overheid te omzeilen met AI-stem

maandag 20 maart 2023, 11:48 door Redactie, 8 reacties

Het stemidentificatiesystem dat de Australische overheid burgers laat gebruiken is door een AI gegenereerde stem te omzeilen, zo stelt The Guardian Australia op basis van eigen onderzoek. Zowel het Australische overheidsagentschap Centrelink, dat uitkeringen voor Australiërs verzorgt, alsmede de Australische belastingdienst, laten burgers zich via een "voiceprint" en andere informatie identificeren. Zo kan men dan op het eigen account inloggen.

Meer dan 3,8 miljoen mensen hebben hun stem bij Centrelink geregistreerd en 7,1 miljoen deden dit bij de Australische belastingdienst. Een journalist van The Guardian Australia ontdekte dat ze met vier minuten aan audio een kloon van haar eigen stem kon maken om, in combinatie met een klantreferentienummer, op haar account in te loggen. Bij het inloggen moeten gebruikers hun referentienummer opgeven en de zin "In Australia, my voice identifies me" opzeggen. De autoriteiten laten in een reactie weten dat ze hun systemen op mogelijk misbruik monitoren.

Reacties (8)
20-03-2023, 12:21 door Anoniem
"wat you are" kan tegenwoordig nagemaakt worden, en is dus geen veilig authenticatiemiddel.
Veiliger zijn dingen zoals:
"wat you have": hardware tokens, (fysieke) sleutels en backup codes.
"wat you know": wachtwoorden/zinnen, toegangs/PIN-codes, etc.

Het liefst een MFA combinatie van weten en hebben, zodat bij enkel diefstal of enkel bedreiging er nog geen authenticatie plaats kan vinden...
20-03-2023, 12:42 door Anoniem
Ah, er wordt gemonitored, dan is het goed! Met de enorme vlucht die AI en alles wat daarmee samenhangt heeft genomen (en in de nabije toekomst nog veel harder zal gaan), is deze authenticatiemethode gewoon niet meer veilig.
20-03-2023, 13:19 door Anoniem
De autoriteiten laten in een reactie weten dat ze hun systemen op mogelijk misbruik monitoren

Beetje nietszeggend antwoord, als er dageijks (tien)duizenden op deze manier inloggen dan moet je
- of kunnen detecteren dat het een AI stem is, maar als dat kan dan kan je het aanlogsysteem meteen aanpassen
- of naar handelingen kijken van iedereen, waarbij je niet weet wie wel en wie niet "echt" is: de foutieve mensen zijn dan al ingelogd... Ofwel: Veel succes!
20-03-2023, 16:47 door Anoniem
Dit was al sinds de film "Sneakers" met Robert Redford een slecht idee en is dat ook altijd gebleven.
20-03-2023, 23:39 door Anoniem
Ach ja. AInis tegenwoordig zo slim dat hij een willekeurige stem kan nadoen en dan ook nog weet, wie de persoon is en hoe die persoon inlogt.
Allemaal waarschijnlijk mogelijk, maar ontzettend vergezocht!
21-03-2023, 10:26 door Anoniem
Door Anoniem: Ach ja. AInis tegenwoordig zo slim dat hij een willekeurige stem kan nadoen en dan ook nog weet, wie de persoon is en hoe die persoon inlogt.
Allemaal waarschijnlijk mogelijk, maar ontzettend vergezocht!

Social Media
https://www.security.nl/posting/790045/Amerikaanse+toezichthouder%3A+social+media+zijn+goudmijn+voor+scammers
21-03-2023, 16:50 door karma4
Wat een ontdekking de eigenaar van de stem ontdekt dat de stemherkenning werkt zoals het ontworpen is. Stem herkend.
Het is hetzelfde dat als je root rechten hebt dat je dan root rechten kunt krijgen.

Bij de realtime implementatie hoort tevens dat het geluid op dat moment door de persoon voortgebracht wordt dan wel een risico inschatting wat de mogelijkheid is van een gerichte aanval op de identiteit met dit ene kenmerk.
24-03-2023, 10:19 door Anoniem
Door Anoniem: "wat you are" kan tegenwoordig nagemaakt worden, en is dus geen veilig authenticatiemiddel.
Veiliger zijn dingen zoals:
"wat you have": hardware tokens, (fysieke) sleutels en backup codes.
"wat you know": wachtwoorden/zinnen, toegangs/PIN-codes, etc.

Het liefst een MFA combinatie van weten en hebben, zodat bij enkel diefstal of enkel bedreiging er nog geen authenticatie plaats kan vinden...


Geen enkele factor is an sich veilig - dat geldt voor alledrie.

Pas bij het combineren van twee of meer factoren spreekt men van sterke authenticatie - en dan het liefst met een sterke variant van die factor (dus bij MFA bij voorkeur geen SMS, met wachtwoorden bij voorkeur lange wachtwoorden, etc.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.