Análisis y evaluación de sistemas de autenticación para Smart Personal Assistants
tipo de documento semantico ckh_publication
Ficheros
Resumen
El presente Trabajo Fin de Máster se ha desarrollado en el marco del proyecto europeo empoweRing and educAtion YoUng pEopLe for the internet by plAying (RAYUELA), cuyo objetivo es identificar y comprender los factores humanos y tecnológicos relacionados con el cibercrimen, además de proporcionar educación a los menores en el uso de las tecnologías, para concienciar de los riesgos asociados a su uso y que sean capaces de identificar y prevenir comportamientos malintencionados en la red. Como parte del proyecto RAYUELA, el trabajo se incluye dentro del paquete de trabajo Technology assessment and IT threat landscape, cuyo objetivo es identificar los dispositivos conectados utilizados por menores y evaluar las amenazas y vulnerabilidades que les afectan.
En este contexto, el objetivo del Trabajo Fin de Máster es realizar un análisis de seguridad y privacidad de los asistentes personales inteligentes comerciales o Smart Personal Assistants (SPA), prestando especial atención a los sistemas de autenticación y las características que estos dispositivos implementan para proteger a los usuarios menores.
El estudio se ha segmentado en tres partes fundamentales.
Durante la primera fase del proyecto se ha realizado un estudio de las publicaciones científicas existentes acerca de la seguridad en el ecosistema de los SPA, que ha permitido identificar los principales problemas de seguridad que afectan a este tipo de dispositivos para determinar las hipótesis iniciales que han establecido las líneas de investigación que se han seguido en el proyecto.
En la segunda fase se ha diseñado y llevado a cabo un conjunto de pruebas de seguridad y privacidad en tres SPA comerciales, el HomePod Mini de Apple, el Google Home Mini de Google y el Echo Show 5 de Amazon, para validar los problemas hallados durante el estudio de la documentación científica, así como llevar a cabo evaluaciones de las pruebas diseñadas durante el proyecto, centradas en evaluar los sistemas de autenticación y la protección de usuarios menores en este tipo de dispositivos. Los resultados de las pruebas en los asistentes comerciales han puesto de manifiesto que los sistemas de autenticación en los SPA analizados son deficientes, incluso en los dispositivos que cuentan con capacidades de reconocimiento de voz, una simple grabación de un usuario permite a un posible actor malicioso suplantar al usuario legítimo, realizando consultas al asistente en su nombre, pudiendo incluso acceder a información personal o realizar pagos. En cuanto a la protección de los usuarios menores en los dispositivos, se ha comprobado que ninguno de los tres SPA en las versiones analizadas cuentan con un sistema de perfiles de seguridad que permita definir un control de las funcionalidades adecuado a un uso seguro del dispositivo por parte de usuarios menores.
Los hallazgos realizados durante la segunda parte del proyecto han motivado el desarrollo llevado a cabo durante la tercera y última fase, en la que se han diseñado, optimizado y validado diversos modelos de clasificación de voz por grupos de edad basados en técnicas de Inteligencia Artificial utilizando conjuntos de datos abiertos en inglés y español, con el fin de comprobar el desempeño de este tipo de técnicas en el campo de la distinción automática de usuarios por edad basada en la voz. Los resultados obtenidos en estos sistemas de clasificación demuestran su utilidad en este campo, y abren posibles líneas de investigación para mejorar los sistemas en un futuro, para obtener herramientas robustas y fiables que puedan ser implementadas en los asistentes personales comerciales, que permitirán mejorar la seguridad y la usabilidad de los mismos.
This Master's Thesis has been developed within framework of the European project empoweRing and educAtion YoUng pEopLe for the internet by plAying (RAYUELA), whose objective is to identify and understand the human and technological factors related to cybercrime, as well as provide education to minors in the use of technology, in order to raise awareness about the risks associated with its use, making them able to detect and prevent malicious behaviours. As part of the RAUELA project, the work is included inside the work package Technology assessment and IT threat landscape, which aims to identify connected devices used by minors and assess the possible threats and vulnerabilities that affect them.
In this context, the objective of the Master's Thesis is to perform a security and privacy analysis of commercial Smart Personal Assistants (SPA), paying special attention to the authentication systems and features that these devices implement to protect minor users.
The project has been divided into three fundamental parts.
During the first phase of the project, a research about existing scientific publications regarding security in the SPA ecosystem has been carried out. This research has made possible to identify the main security issues that affect the SPA environment to determine the initial hypotheses that have established the lines of research followed in the project.
In the second phase, a set of security and privacy tests have been designed and carried out on three commercial SPA, the HomePod Mini by Apple, the Google Home Mini by Google and the Echo Show 5 by Amazon, to validate the security problems found during the research of the scientific publications in the area, as well as to carry out evaluations of the tests designed during the project, focused on evaluating the authentication systems and the protection of minor users in this type of devices. The results of the tests have shown that the authentication systems in the SPA analyzed are deficient, even in devices that have voice recognition capabilities, a simple voice recording of a user allows a possible malicious actor to impersonate the legitimate user, making queries to the assistant on his behalf, even being able to access personal information or make payments. As for the protection of minors on these devices, it has been found that none of the three SPA in the versions analyzed have a security profile system that allows to define a proper functionalities control suitable for a secure use of the device by minor users.
The findings made during the second part of the project have motivated the development conducted during the third and last phase, in which several models of voice classification by age groups based on Artificial Intelligence techniques have been designed, optimized and validated using open data sets in English and Spanish, in order to test the performance of this type of techniques in the field of automatic voice-based age distinction of users. The results obtained in these classification systems demonstrate their utility in this field, and open possible lines of research to improve the systems in the future, in order to obtain robust and reliable tools that can be implemented in commercial personal assistants, which will improve their security and usability.
Códigos UNESCO CyT
Palabras clave
Editoreak: Comillas , Administradores CKH · Universidad de Comillas
Honekin partekatua:
