Wie Sprachassistenten unhörbare Befehle befolgen

Früher funktionierten die Angriffe nur über die Datenschnittstelle. Heute gelingen sie auch, wenn die Audiodateien über Lautsprecher abgespielt werden. © Roberto Schirdewahn (Dieses Foto darf nur für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum im Kontext dieser Presseinformation verwendet werden.)

Um die geheimen Botschaften in die Audiodateien zu integrieren, nutzen die Wissenschaftlerinnen und Wissenschaftler das psychoakustische Modell des Hörens. „Wenn das Gehör damit beschäftigt ist, einen Ton einer bestimmten Frequenz zu verarbeiten, können Menschen für einige Millisekunden andere leisere Töne nicht mehr wahrnehmen“, erklärt Lea Schönherr aus der Arbeitsgruppe Kognitive Signalverarbeitung, die Prof. Dr. Dorothea Kolossa leitet.

Genau in diesen Bereichen verstecken die Forscherinnen die geheimen Befehle für die Maschinen. Für den Menschen klingt die zusätzliche Information wie zufälliges Rauschen, für den Sprachassistenten ändert es jedoch den Sinn.

Den Raum berücksichtigen

Zunächst funktionierte der Angriff nur über eine Datenschnittstelle, mittlerweile auch über Lautsprecher. Das ist komplizierter, da der Raum, in dem die Datei abgespielt wird, den Klang beeinflusst.

Beim Erstellen der manipulierten Audiodateien berücksichtigte Lea Schönherr daher die sogenannte Raumimpulsantwort. Diese beschreibt, wie ein Raum den Schall reflektiert und den Klang verändert. Mit speziellen Computerprogrammen lässt sich die Raumimpulsantwort simulieren.

„Wir können den Angriff also für einen bestimmten Raum maßschneidern“, berichtet die Kommunikationstechnikerin. „Kürzlich ist es uns aber sogar gelungen, einen allgemeinen Angriff durchzuführen, der keine Vorinformationen über den Raum benötigt, und trotzdem genauso gut oder sogar noch besser auf dem Luftweg funktioniert.“ Künftig plant die Wissenschaftlerin auch Tests mit auf dem Markt erhältlichen Sprachassistenten.

Sicherheitslücke schließen

Da sprachgesteuerte Systeme aktuell nicht in sicherheitskritischen Bereichen im Einsatz sind, sondern lediglich dem Komfort dienen, können die Adversarial Examples derzeit keinen großen Schaden anrichten. Daher sei es noch früh genug, die Sicherheitslücke zu schließen, meinen die Bochumer Forscher.

Im Exzellenzcluster Casa, kurz für Cyber Security in the Age of Large-Scale Adversaries, kooperiert die Arbeitsgruppe Kognitive Signalverarbeitung, die die Angriffe entwickelt hat, mit dem Lehrstuhl für Systemsicherheit von Prof. Dr. Thorsten Holz, dessen Team an Gegenmaßnahmen dazu arbeitet.

MP3-Prinzip als Gegenmaßnahme

Der IT-Sicherheitsforscher Thorsten Eisenhofer will Kaldi beibringen, für Menschen nicht hörbare Bereiche in Audiosignalen auszusortieren und nur das zu hören, was übrig bleibt. „Wir können natürlich nicht verhindern, dass Angreifer Audiodateien manipulieren“, sagt er. Sein Ziel ist es, dass die Manipulation aber in den für Menschen hörbaren Bereichen platziert werden müsste; so ließen sich die Angriffe nicht so leicht verstecken. Dafür nutzt Eisenhofer das MP3-Prinzip.

MP3-Dateien werden komprimiert, indem für Menschen nicht hörbare Bereiche gelöscht werden – genau das ist es, was die Verteidigungsstrategie gegen die Adversarial Examples auch vorsieht. Eisenhofer kombinierte Kaldi daher mit einem MP3-Encoder, der die Audiodateien zunächst bereinigt, bevor sie zum eigentlichen Spracherkenner gelangen.

Die Tests ergaben, dass Kaldi die geheimen Botschaften tatsächlich nicht mehr verstand, es sei denn sie wurden in die für Menschen wahrnehmbaren Bereiche verschoben. „Das veränderte die Audiodatei aber merklich“, berichtet Thorsten Eisenhofer. „Die Störgeräusche, in denen die geheimen Befehle versteckt sind, wurden deutlich hörbar.“

Ausführlicher Artikel im Wissenschaftsmagazin Rubin

Einen ausführlichen Beitrag zu dem Thema finden Sie im Wissenschaftsmagazin Rubin unter: https://news.rub.de/wissenschaft/2019-10-23-it-sicherheit-wie-sprachassistenten-…. Texte auf der Webseite und Bilder aus dem Downloadbereich dürfen unter Angabe des Copyrights für redaktionelle Zwecke honorarfrei verwendet werden.

Lea Schönherr
Arbeitsgruppe Kognitive Signalverarbeitung
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 29638
E-Mail: lea.schoenherr@rub.de

Thorsten Eisenhofer
Lehrstuhl für Systemsicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 29638
E-Mail: thorsten.eisenhofer@rub.de

Lea Schönherr, Steffen Zeiler, Thorsten Holz, Dorothea Kolossa: Imperio: robust over-the-air adverarial examples for automatic speech recognition systems, 2019, Online-Vorabveröffentlichung: https://arxiv.org/abs/1908.01551

https://news.rub.de/presseinformationen/wissenschaft/2018-09-24-it-sicherheit-ge… Frühere Presseinformation zum Thema

Media Contact

Dr. Julia Weiler idw - Informationsdienst Wissenschaft

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Im Roboterlabor zu nachhaltigem Treibstoff

Dank einer neuen automatisierten Forschungsinfrastruktur können Chemiker:innen an der ETH Zürich Katalysatoren schneller entwickeln. Künstliche Intelligenz hilft ihnen dabei. Als erstes Demonstrationsprojekt suchten die Forschenden nach besseren Katalysatoren zur Herstellung…

Perowskit-Solarzellen: Vakuumverfahren kann zur Marktreife führen

Weltweit arbeiten Forschung und Industrie an der Kommerzialisierung der Perowskit-Photovoltaik. In den meisten Forschungslaboren stehen lösungsmittelbasierte Herstellungsverfahren im Fokus, da diese vielseitig und einfach anzuwenden sind. Etablierte Photovoltaikfirmen setzen heute…

Von der Kunst, die reale Welt in Zahlen abzubilden

Mathematiker der Uni Ulm entwickeln „Digitale Zwillinge“. Sie schlagen eine Brücke zwischen der physischen und der digitalen Welt: sogenannte „Digitale Zwillinge“. Das sind virtuelle Modelle von Objekten, aber auch von…

Partner & Förderer