Zwei KI-Forscher der Universität Kalifornien zeigen einen einfachen Hack, mit dem man Sprachassistenten alles befehlen kann - ohne dass es auffällt.
Anfang 2017 gab ein TV-Moderator versehentlich eine Massenbestellung von Puppenhäusern über Amazons Sprachassistenz Alexa in Auftrag, da er in seiner Sendung den Satz "Ich liebe dieses kleine Mädchen, wie sie sagt 'Alexa hat mir ein Puppenhaus bestellt'" aussprach. Anschließend gingen beim Sender Beschwerden ein, dass Alexa versucht habe, ein Puppenhaus zu bestellen.
Die Computer-Wissenschaftler Nicholas Carlini und Professor David Wagner der Universität Berkeley zeigen in einem Experiment, wie Angreifer ein solches Phänomen womöglich völlig unbemerkt im großen Stil ausnutzen könnten.
Sie entwickelten ein Verfahren für versteckte Sprachbefehle, die in beliebige Tonquellen eingefügt werden können. Dafür bedarf es nur einer kleinen Modifikation der Audio-Wellenform, die für den normalen Menschen nicht oder kaum wahrnehmbar ist.
Ein Angreifer könnte mit diesem Verfahren einer Sprachassistenz jeden beliebigen Befehl erteilen oder die Geräte mit sehr komplexen Ansagen blockieren. Bis zu 50 Buchstaben pro Sekunde sind möglich, das ist das theoretische Maximum.
Versteckte Sprachbefehle greifen in 100 Prozent aller getesteten Fälle
Bei den beiden folgenden Audiodateien versteht die Sprachassistenz im ersten Beispiel den eigentlichen Inhalt des Satzes ("without the dataset the article is useless"), im zweiten Beispiel hört sie jedoch "okay google browse to evil dot com". Für das menschliche Ohr klingen beide Beispiele beinahe identisch.
Die Schummel-Befehle sind nicht auf Sprache begrenzt: In einem zweiten Beispiel verstecken die Forscher die Anweisung "okay google browse to evil dot com" in einem kurzen Ausschnitt klassischer Musik.
Auch hier ist zwischen dem Original (Beispiel 1) und dem versteckten Sprachbefehl (Beispiel 2) beinahe kein Unterschied wahrzunehmen - ein leises Zischen hört man heraus, das in Alltagssituationen untergehen dürfte.
Laut den Wissenschaftlern funktioniert die Manipulation zu 100 Prozent verlässlich. Erprobt wurden die versteckten Sprachbefehle an Mozillas Sprache-zu-Text-System Deepspeech. Bei einem Vorgängerexperiment vor einem Jahr wurden aber auch schon Apples Siri und der Google Assistent (siehe Video unten) übertölpelt. Das neue Experiment ist die Weiterentwicklung des als Lärm getarnten Sprachbefehls im Video.
Die versteckten Sprachbefehle greifen noch nicht, wenn sie über Lautsprecher übertragen werden, daher ist das Schadpotenzial begrenzt. Die Wissenschaftler sind allerdings davon überzeugt, dass die Fernübertragung mit etwas mehr Aufwand machbar ist.
