Rizika chytrých reproduktorů a bankovnictví

25. 7. 2018 v sekci Článek

Pro výrobce třetích stran jsou chytré reproduktory a tzv. virtuální asistenti příležitost, jak uživatelům nabídnout pohodlné ovládání různých služeb pomocí hlasu – lidé si mohou objednávat zboží v e-shopech, naplánovat trasu, zkontrolovat provoz v okolí, najít restauraci a podobných možností přibývá. Realitou už je také bankovnictví ovládané prostřednictvím chytrých reproduktorů a virtuálních asistentů. Je na obzoru nová příležitost také pro zneužití?

Virtuální asistenti a bankovnictví

Bankovní aplikace, které spolupracují s reproduktory od Amazonu a Googlu, reagují na hlasové příkazy, podle kterých vykonávají požadované akce. Nového způsobu online bankovnictví se chopila také například U. S. Bank, která přináší možnost propojení a ovládání bankovnictví pomocí všech tří virtuálních asistentů (Alexa, Google Assistant, Siri). Služby online bankovnictví přes chytré reproduktory (s výjimkou Apple HomePod; Siri lze pro bankovnictví využít jen na mobilních zařízeních) U. S. Bank nabízí od června 2018 – zákazníci si mohou s pomocí virtuálního asistenta zkontrolovat stav účtu, splácet kreditní karty nebo hypotéky. V dohledné době by měla přibýt také možnost převodu peněz na jiné soukromé účty. Také menší banky a kreditní společnosti nabízejí podobné funkce – Capital One a American Express umožňují přes hlasové povely například platit složenky a další účty.

Možná rizika

Používání chytrých reproduktorů s sebou přináší řadu bezpečnostních rizik. Reproduktor reaguje na hlasový vstup a také poskytuje zvukový výstup – jedním z hlavních rizik je, že bude tato „konverzace“ plná citlivých informací vyslechnuta i někým dalším, kdo by tyto poznatky mohl zneužít. Banky, které poskytují informace o účtu přes chytré reproduktory, většinou vyžadují, aby se uživatel autorizoval pomocí unikátního čtyřmístného PIN kódu. Také zde se už ukázalo, že lidé na doporučení a rady, jak vybrat bezpečné heslo, příliš nereagují a v první řadě chtějí co nejjednodušší obsluhu, a to i na úkor bezpečnosti. Není proto výjimkou, že se „unikátní“ PIN kódy pro citlivou komunikaci o bankovním účtu skládají z jednoduchých číselných kombinací, nejčastěji jde o řadu po sobě jdoucích čísel případně opakující se číslo.

Rozpoznání hlasu

Jako další vrstvu ochrany využívají chytré reproduktory Google Home a Amazon Echo rozpoznávání hlasu. Podle odborníků není zatím schopnost těchto domácích zařízení rozpoznat hlas uživatele na takové úrovni, aby mohla být považována za bezpečnou (potenciální útočník si může nahrát hlas oběti a přehrát ho, odposlechnout může také samozřejmě onen bezpečnostní PIN). Dalším rizikem je pak chyba při zadávání hlasového příkazu. Chytré reproduktory jsou vybaveny citlivými mikrofony, přesto se může stát (a stává se), že si uživatel a chytrý reproduktor spolu úplně neporozumí a může proto snadno dojít k chybě.

Krok vpřed?

Je tak na místě zvážit, zda při používání chytrého reproduktoru pro online bankovnictví převažují klady nebo zápory, které s sebou tato možnost nese. Jde zatím o technologickou novinku, u níž se předpokládá, že se bude nadále vyvíjet, vylepšovat a rozmáhat – společně s tím se samozřejmě budou vyvíjet i hrozby a aktivity kyberzločinců. Čeští uživatelé se podobných služeb dočkají zřejmě se zpožděním, které je způsobeno velice pozvolnou adopcí chytrých reproduktorů v tuzemsku – ta je důsledkem regionálního omezení služeb a absencí lokalizace chytrých reproduktorů a virtuálních asistentů.

Zdroj: Securityaffairs