In einem kurzen YouTube-Video demonstriert der Journalist Joseph Cox, wie er mit einer computergenerierten Stimme die Sicherheitsmechanismen seiner Bank aushebelt. In dem IT-Blog Motherboard beschreibt Cox ausführlich, wie er das Experiment vorbereitete und wie es verlief. (via)
Um das eigene Bankkonto vor den Zugriffen von anderen Personen zu schützen, bieten Banken verschiedene Arten von Sicherheitssystemen an. Ein aktuell recht beliebtes System dieser Art ist die „Voice ID„, die es Kunden am Telefon ermöglicht sich durch eine Stimmerkennungssoftware zu verifizieren. Automatische Systeme bei der Bank erkennen nach einigen Sprechproben, ob der Nutzer am Telefon wirklich den bei der Bank registrierten Kunden darstellen. Schließlich sind Stimmen angeblich genau einzigartig wie Fingerabdrücke.
Trotz der angeblich durch solche Systeme gewährten erhöhten Sicherheit hat der Journalist Joseph Cox vor Kurzem unter Beweis gestellt, wie einfach sich das Ganze mit moderner Technik überwinden lässt. Dafür verfasste er einen Bericht in dem IT-Blog Motherboard, der viele Details zu seinem kleinen Experiment auflistet. Im Grunde wollte er herausfinden, ob er mit einer computergenerierten Stimme auf sein Konto zugreifen kann und ob die britische Lloyds Bank erkennt, dass seine Stimme am Telefon von einer KI reproduziert wurde.
Für seinen Versuch verwendete der Journalist eine Software mit dem Namen „Prime Voice AI„. Dieses von dem amerikanischen Start-Up ElevenLabs entwickelte Programm verwendet mehrere Audioaufnahmen einer Person dafür, um eine synthetische Stimme zu erzeugen. Diese Stimme kann angeblich die Sprechweise, die Stimmlage und spezielle Eigenheiten wie beispielsweise Akzente perfekt nachahmen. Dabei reichen für gewöhnlich bereits fünf Minuten an eingesprochenem Material für die Erschaffung solch einer Stimme aus. Mit der Stimme kann ein Computer dann alle beliebten Texte vorlesen und mit der eigenen Stimmt aussprechen.
Was das Ergebnis seines Versuches betrifft, so ist es Cox tatsächlich gelungen, nur mit der synthetischen Stimme in seinen Account bei der Bank einzuloggen. Das Ganze funktionierte allerdings nicht direkt bei dem ersten Versuch. Die Software hat wohl öfter darum gebeten, die gesprochenen Worte zu wiederholen und die einzelnen Schritte noch einmal durchzuspielen. Trotzdem hat er es nach mehreren Versuchen geschafft, Zugriff auf seinen Account zu erhalten.
Der Login-Prozess erforderte allerdings auch die Eingabe seines Geburtsdatums per Sprache. Angreife müssen sich im Vorfeld also auch diese simple Information sichern. Danach musste die Software einfach nur noch den Satz „My voice is my password„ aufsagen. Sobald dieser Satz als die Stimme des Nutzers erkannt wurde, erhielt er direkten Zugriff auf seinen Account bei der Bank. Die Software muss im Vorfeld also nicht einmal unbedingt viele Sätze vorbereiten, um das Einloggen in einen Account zu erlauben.
Die Bank hat sich nach diesem Experiment in einer Stellungnahme geäußert. Dieser Erklärung zufolge ist Voice ID nur eine optionale Sicherheitsmaßnahme für daran interessierte Kunden. Trotzdem würde die Bank das Ganze noch immer sicherer einstufen als traditionelle Verfahren rund um das Wissen von Kunden. Die Bank setzt weiterhin alles daran, ihre Verfahren und Sicherheitssysteme zu verbessern und Kunden gleichzeitig einen simplen Zugang zu ihren Accounts zu liefern.
Das Ganze ist ein weiteres gutes Beispiel dafür, wie erschreckend moderne Technik sein kann und wie viel Potenzial für Missbrauch die aufkommenden AI-Systeme bieten. Auch wenn die Technologie aktuell noch in ihren Anfängen steckt, so sollte es aber nicht mehr lange dauern, bis gewisse Beschwerden und Schwierigkeiten entfernt wurden. Ab diesem Zeitpunkt reicht die eigene Stimme vermutlich nicht mehr aus, um als Grundlage für einen Schutz der eigenen Daten oder Gelder zu fungieren.
“Voice ID is an optional security measure, however we are confident that it provides higher levels of security than traditional knowledge-based authentication methods, and that our layered approach to security and fraud prevention continues to provide the right level of protection for customers‘ accounts, while still making them easy to access when needed.”
Anzeige
Nur ein weiterer Beweis dafür das KI in erster Linie gefährlich ist und fast unendliche möglichkeiten des Missbrauchs besitzt.