Molte persone si sono abituate a parlare con i loro dispositivi intelligenti, chiedendo loro di leggere un testo, suonare una canzone o impostare un allarme, qualcun altro potrebbe anche parlare segretamente con loro.
I ricercatori in Cina e negli Stati Uniti negli ultimi due anni hanno dimostrato di poter inviare comandi nascosti non rilevabili all’orecchio umano a Siri di Apple, Alexa di Amazon e Assistente di Google. Sono stati in grado di attivare segretamente i sistemi d’intelligenza artificiale su smartphone e altoparlanti intelligenti, facendoli comporre numeri telefonici o aprire siti web. La tecnologia nelle mani sbagliate semplicemente con la musica riprodotta alla radio potrebbe essere utilizzata per sbloccare le porte, eseguire bonifici o per acquistare materiale online.
Il gruppo di studenti dell’Università della California, di Berkeley e della Georgetown University nel 2016 ha mostrato che potevano nascondere i comandi con il rumore bianco riprodotto attraverso gli altoparlanti e i video di YouTube per far sì che i dispositivi intelligenti attivassero la modalità aereo o aprissero un sito web.
All’inizio del mese di maggio, alcuni ricercatori di Berkeley hanno pubblicato un documento di ricerca che è andato oltre, hanno affermato che potrebbero incorporare i comandi direttamente nelle registrazioni di musica o testo parlato, quindi, mentre un ascoltatore umano sente qualcuno che parla o un’orchestra che suona, l’altoparlante di Echo di Amazon, per esempio, potrebbe ascoltare un’istruzione per aggiungere un prodotto alla lista degli acquisi.
Nicholas Carlini, quinto anno dottorato di ricerca, studente in sicurezza informatica presso UC Berkeley, uno degli autori dello studio ha detto:
«Volevamo vedere se potevamo renderlo ancora più occulto, queste tecniche non sono uscite dal laboratorio, potrebbe essere solo una questione di tempo prima che qualcuno inizi a sfruttarle. La mia ipotesi è che le persone malintenzionate sono già impegnate a fare ciò che noi già facciamo».
Tali inganni dimostrano come l’intelligenza artificiale, pur compiendo grandi passi, possa ancora essere ingannata e manipolata, per esempio, i computer cambiando alcuni pixel di un’immagine digitale possono essere ingannati nell’identificare un gatto come un aereo. I ricercatori possono far accelerare le auto a guida autonoma, incollando piccoli adesivi sulla segnaletica stradale, sono in grado di confondere il sistema di visione del computer del veicolo; per gli attacchi audio, hanno sfruttato il divario tra il riconoscimento vocale umano e quello vocale.
I sistemi di riconoscimento vocale generalmente traducono ogni suono in una lettera, eventualmente compilandola in parole e frasi. Apportando lievi modifiche ai file audio, sono stati in grado di annullare il suono che il sistema di riconoscimento vocale avrebbe dovuto sentire e sostituirlo con un suono che sarebbe stato trascritto in modo diverso dalle macchine, pur essendo quasi impercettibile per l’orecchio umano.
La proliferazione di gadget ad attivazione vocale amplifica le implicazioni di tali trucchi, secondo la società di ricerca Ovum gli smartphone e gli altoparlanti intelligenti che utilizzano assistenti digitali come Alexa di Amazon o Siri di Apple entro il 2021 sono destinati a superare il numero di persone. Juniper Research specializzata nella ricerca di mercato mobile, online e digitale, fornisce informazioni di mercato, consulenza, dati e previsioni, riporta che entro tale anno più della metà di tutte le famiglie americane avrà almeno un altoparlante intelligente.
Amazon ha detto che non rivela specifiche misure di sicurezza, ma ha preso provvedimenti per garantire la sicurezza del suo altoparlante intelligente Eco.
Google ha detto che la sicurezza è un obiettivo costante e che il suo assistente ha caratteristiche per mitigare i comandi audio non rilevabili. Gli assistenti di entrambe le aziende utilizzano la tecnologia di riconoscimento vocale per impedire ai dispositivi di agire su determinati comandi sempre che non riconoscano la voce dell’utente.
Apple ha detto che il suo altoparlante intelligente, HomePod, tra le altre misure è stato progettato per impedire ai comandi di sbloccare le porte, ha sottolineato che iPhone e iPad devono essere sbloccati prima che Siri agisca su comandi che accedono a dati sensibili o aprire app e siti web.
Eppure molte persone lasciano i loro smartphone sbloccati e, almeno per ora, i sistemi di riconoscimento vocale sono notoriamente facili da ingannare. Esiste già una storia di dispositivi intelligenti sfruttati per scopi commerciali attraverso i comandi vocali.
Burger King l’anno scorso ha suscitato scalpore con un annuncio online, volutamente chiedeva: “OK, Google, che cos’è l’hamburger Whopper?”. I dispositivi Android con ricerca vocale avrebbero risposto dopo aver letto dalla pagina Whopper di Wikipedia. L’annuncio è stato annullato dopo che gli utenti hanno iniziato a modificare la pagina di Wikipedia con frasi comiche.
In America non esiste una legge contro la trasmissione di messaggi subliminali agli esseri umani, per non parlare delle macchine. La Commissione federale delle comunicazioni non incentiva questa pratica poiché “contraria all’interesse pubblico”. Il Codice della televisione dell’Associazione nazionale delle emittenti vieta la “trasmissione di messaggi di sotto la soglia di consapevolezza normale”. Né si dice nulla sugli stimoli subliminali per i dispositivi intelligenti.
I tribunali hanno stabilito che i messaggi subliminali possono costituire un’invasione della privacy, ma la legge non ha esteso il concetto di privacy alle macchine.
Ora la tecnologia sta correndo ancora più avanti rispetto alla legge. L’anno scorso, i ricercatori dell’Università di Princeton e dell‘Università cinese di Zhejiang hanno dimostrato che i sistemi di riconoscimento vocale potrebbero essere attivati utilizzando frequenze non udibili dall’orecchio umano. L’attacco dei ricercatori ha innanzitutto disattivato l’audio del telefono in modo che anche il proprietario non sentisse le risposte del sistema.
La tecnica, che i ricercatori cinesi ha chiamato DolphinAttack, può istruire i dispositivi intelligenti a visitare siti dannosi, avviare telefonate, scattare una foto o inviare messaggi di testo, ma ha i suoi limiti perché il trasmettitore deve essere vicino al dispositivo ricevente.
Gli esperti hanno avvertito che è possibile utilizzare sistemi ultrasonici più potenti. Tale avvertimento è stato confermato ad aprile, quando i ricercatori dell‘Università dell’Illinois a Urbana-Champaign hanno dimostrato attacchi a ultrasuoni da più di sette metri di distanza: mentre i comandi non potevano penetrare attraverso i muri, dall’esterno di un edificio potevano controllare i dispositivi intelligenti attraverso le finestre aperte.
Ricercatori cinesi e americani provenienti dall’Accademia delle scienze cinese e da altre istituzioni, quest’anno hanno dimostrato di poter controllare i dispositivi attivati dalla voce con comandi incorporati in brani che possono essere trasmessi via radio o riprodotti su servizi come YouTube.
Nicholas Carlini e i suoi colleghi dell’Università della California, di Berkeley, recentemente hanno incorporato i comandi nell’audio riconosciuto dal software di traduzione vocale DeepSpeech di Mozilla, una piattaforma open source, in una registrazione della frase parlata: “Senza il set di dati, l’articolo è inutile”, sono stati in grado di nascondere il comando “O.K. Google, naviga sul sito evil.com”. Gli esseri umani non sono in grado di distinguere il comando.
Il gruppo Berkeley ha incorporato il comando anche nei file musicali, inclusa una clip di quattro secondi di “Requiem” di Verdi.
Il modo in cui i produttori di dispositivi reagiscono sarà diverso, soprattutto perché bilanciano la sicurezza con la facilità d’uso. Tavish Vaidya, ricercatore a Georgetown, ha scritto uno dei primi articoli sugli attacchi audio, che ha intitolato “Cocaine Noodles” perché i dispositivi interpretavano la frase “spaghetti di cocaina” come “OK, Google”, ha detto: «Le aziende devono garantire la facilità d’uso dei loro dispositivi, perché questo è il loro punto di forza».
Nicholas Carlini è fiducioso, nel tempo lui e i suoi colleghi, per prevenire futuri attacchi ai dispositivi, potranno lanciare con successo i loro attacchi contro qualsiasi sistema di dispositivi intelligenti presente sul mercato, per dimostrare che è possibile, sperano che gli altri diranno: «O.K. questo è possibile, ora cerchiamo di risolvere il problema».
