隨著人工智能和自然語(yǔ)言處理技術(shù)的發(fā)展,聲音已經(jīng)成為人機(jī)交互的重要方式。語(yǔ)音助手可以在很多場(chǎng)景下為人類提供便捷的服務(wù),比如當(dāng)你雙手提著東西,不方便拿手機(jī),可以喚醒“Siri”幫忙撥打電話;睡覺(jué)前,你躺在床上就可以通過(guò)智能家居語(yǔ)音助手關(guān)閉臥室的燈光而不用自己起身……然而,近期有學(xué)者發(fā)現(xiàn),這些語(yǔ)音助手在提高我們生活便捷度的同時(shí),也可能會(huì)在不經(jīng)意間成為“泄密者”。
日前,在美國(guó)加州召開(kāi)的國(guó)際信息安全界會(huì)議“網(wǎng)絡(luò)與分布式系統(tǒng)安全會(huì)議”上,美國(guó)密歇根州立大學(xué)嚴(yán)奇犇教授帶領(lǐng)的SEIT實(shí)驗(yàn)室聯(lián)合圣路易斯華盛頓大學(xué)、內(nèi)布拉斯加林肯大學(xué)以及中國(guó)科學(xué)院的學(xué)者,披露了一種名為“SurfingAttack”的超聲波攻擊方式,攻擊者可以通過(guò)放置手機(jī)的桌子或者其他固體接觸物來(lái)傳輸攜帶指令信息的超聲波,從而實(shí)現(xiàn)操控語(yǔ)音助手的效果。
“SurfingAttack”如何實(shí)施攻擊?會(huì)帶來(lái)哪些風(fēng)險(xiǎn)?用戶以及技術(shù)廠商應(yīng)該如何加強(qiáng)防護(hù)?科技日?qǐng)?bào)記者就此采訪了有關(guān)專家。
利用“隱身”的超聲波發(fā)起進(jìn)攻
在模擬的攻擊場(chǎng)景中,智能手機(jī)被放置于普通桌子上,只見(jiàn)研究人員在桌子另一側(cè)的電腦上輸入代碼后,沒(méi)過(guò)多久便喚醒了手機(jī)的語(yǔ)音助手,并成功地通過(guò)語(yǔ)音助手讓手機(jī)執(zhí)行指令信息,例如使用前置攝像頭拍攝等……
“SurfingAttack”之所以能夠?qū)嵤┕,是基于什么原?
“頻率高于20KHz的聲波,我們稱為超聲波,蝙蝠在飛行過(guò)程中就是使用超聲波來(lái)進(jìn)行障礙物定位的;頻率低于20Hz的稱為次聲波,大象就是利用次聲波進(jìn)行相互交流。人耳聽(tīng)覺(jué)的頻率范圍在20Hz—20KHz之間,因此,無(wú)論是蝙蝠還是大象發(fā)出的聲音,我們都是聽(tīng)不到的。”360安全研究院專家郝經(jīng)利介紹說(shuō),而手機(jī)等智能設(shè)備中的麥克風(fēng),大部分使用駐極體麥克風(fēng)和MEMS(微機(jī)電系統(tǒng))麥克風(fēng),頻率在10Hz—40KHz范圍內(nèi)的聲波一般都能獲得響應(yīng)。
“正是基于這兩個(gè)原因,‘SurfingAttack’利用人耳識(shí)別不了的超聲波,向手機(jī)等智能設(shè)備的麥克風(fēng)發(fā)送激活語(yǔ)音系統(tǒng)指令,接收到激活指令后,聲控系統(tǒng)就會(huì)被激活,而這個(gè)過(guò)程我們的耳朵是聽(tīng)不到的。”郝經(jīng)利解釋說(shuō)。
“SurfingAttack”雖然剛剛被揭示出來(lái),但這已不是研究人員第一次發(fā)現(xiàn)這種通過(guò)外部信號(hào)注入而發(fā)起的攻擊。據(jù)福建師范大學(xué)數(shù)學(xué)與信息學(xué)院黃欣沂教授介紹,2017年浙江大學(xué)研究團(tuán)隊(duì)實(shí)現(xiàn)了“海豚音攻擊”,能夠?qū)χ悄苷Z(yǔ)音設(shè)備悄無(wú)聲息地進(jìn)行控制。2018年的信息安全領(lǐng)域國(guó)際學(xué)術(shù)會(huì)議IEEE S&P召開(kāi)時(shí),研究人員就演示了如何利用超聲波對(duì)硬盤(pán)造成物理?yè)p壞,甚至可以讓電腦死機(jī)。
“‘海豚音攻擊’主要利用了聲波在空氣中的傳播,遇到雨、霧、灰塵等視線障礙后,聲波傳播的性能就會(huì)下降;而‘SurfingAttack’主要利用聲波在固體中的傳播特性,通過(guò)固體介質(zhì)啟動(dòng)攻擊,不受視線障礙的影響。”黃欣沂說(shuō)。
同時(shí),“SurfingAttack”還實(shí)現(xiàn)了30英尺(約9.14米)的“遠(yuǎn)距離攻擊”,而此前,人們發(fā)現(xiàn)的超聲波攻擊距離約為5英尺(約1.52米)。黃欣沂說(shuō),與傳統(tǒng)的超聲波攻擊相比,“SurfingAttack”實(shí)施攻擊過(guò)程可能會(huì)更加隱蔽。
語(yǔ)音助手易成為攻擊對(duì)象
據(jù)了解,目前研究人員總共測(cè)試了17款帶有語(yǔ)音助手的智能設(shè)備,其中13臺(tái)設(shè)備攜帶了安卓系統(tǒng)的數(shù)字助手,另外4臺(tái)設(shè)備攜帶的是蘋(píng)果系統(tǒng)的Siri。
“研究人員測(cè)試發(fā)現(xiàn),包括小米、三星、華為和蘋(píng)果等主流手機(jī)品牌的15款不同型號(hào)的手機(jī),在3種桌面上均受到來(lái)自該種攻擊的影響,某兩款來(lái)自三星Galaxy系列和華為Mate系列的手機(jī)則‘相安無(wú)事’。”北京郵電大學(xué)信息安全中心副主任辛陽(yáng)表示,研究人員使用了不同材質(zhì)(例如金屬、玻璃、木材)的桌面分別來(lái)進(jìn)行測(cè)試,發(fā)現(xiàn)這種攻擊在所有這些材質(zhì)的桌面上都可以發(fā)生。
郝經(jīng)利進(jìn)一步補(bǔ)充說(shuō),目前除了帶有語(yǔ)音助手的手機(jī),還有一些智能硬件設(shè)備例如智能音箱等,同樣會(huì)受到超聲波攻擊的威脅。但是由于智能音箱的功能所限,不具備較強(qiáng)的攻擊目的性,所以相比智能手機(jī)來(lái)說(shuō)風(fēng)險(xiǎn)性較小。
那么,語(yǔ)音助手被“攻破”,會(huì)帶來(lái)哪些風(fēng)險(xiǎn)?“該技術(shù)一旦攻擊成功,便會(huì)獲得相應(yīng)的系統(tǒng)權(quán)限,利用‘SurfingAttack’,攻擊者可以在用戶不知情的情況下,竊取含有銀行轉(zhuǎn)賬驗(yàn)證碼的短信等數(shù)據(jù),完成支付、轉(zhuǎn)賬等一系列操作,對(duì)用戶的財(cái)產(chǎn)安全造成威脅。”黃欣沂說(shuō)。
郝經(jīng)利指出,當(dāng)前語(yǔ)音助手所擁有的撥打電話權(quán)限也是一個(gè)很顯著的攻擊目標(biāo),攻擊者可通過(guò)讓語(yǔ)音助手撥打特定的電話,泄露被攻擊者的電話號(hào)碼等個(gè)人信息,或在用戶毫無(wú)感知的情況下,利用用戶的手機(jī)和合成聲音進(jìn)行虛假欺詐呼叫,即俗稱的電信詐騙。
“SurfingAttack”的狡猾攻擊方式,是否意味著如果你的手機(jī)放在桌子上,而且剛好沒(méi)有鎖定,黑客就能通過(guò)這種方式,悄無(wú)聲息地獲取你設(shè)備中的敏感數(shù)據(jù)呢?
科技日?qǐng)?bào)記者了解到,事實(shí)上,發(fā)動(dòng)“SurfingAttack”還需要包括超聲波發(fā)射器、壓電式轉(zhuǎn)換器、隱藏式麥克風(fēng)等硬件和軟件的協(xié)同,這也使得發(fā)動(dòng)攻擊具備了一定的成本和技術(shù)門(mén)檻。
柔軟的“鎧甲”或可防御
“針對(duì)這類攻擊方式,目前沒(méi)有較理想的修補(bǔ)方案,但用戶可以在日常生活中謹(jǐn)慎一些。”辛陽(yáng)建議,較好的預(yù)防方式是用完手機(jī)之后隨手鎖屏,降低語(yǔ)音助手在鎖屏狀態(tài)下的權(quán)限。同時(shí),用戶在使用手機(jī)時(shí),應(yīng)盡量減少手機(jī)與桌子的接觸面積,還可以在桌子上墊上一層柔軟的編織物,或者使用較厚的手機(jī)殼等。
對(duì)于廠商,郝經(jīng)利建議,可以通過(guò)系統(tǒng)升級(jí)等策略,將能夠激活語(yǔ)音助手麥克風(fēng)的聲音頻率做一個(gè)過(guò)濾,降低對(duì)超聲波和次聲波的感知,這樣可以有效杜絕和防范此類攻擊的發(fā)生。同時(shí),手機(jī)廠家在選用麥克風(fēng)硬件的時(shí)候,可以關(guān)注麥克風(fēng)整個(gè)聲波感應(yīng)頻率范圍,選用一些僅針對(duì)人類能識(shí)別的音頻范圍的麥克風(fēng)。
“對(duì)于普通用戶來(lái)講,不必過(guò)于恐慌,此類攻擊的局限性非常大,預(yù)計(jì)未來(lái)不太可能會(huì)造成較大的威脅。”郝經(jīng)利表示,當(dāng)前各種智能設(shè)備的誕生在給我們提供了便利的同時(shí),可能會(huì)帶來(lái)安全隱患,在公眾場(chǎng)合,我們應(yīng)該保護(hù)好自己的智能設(shè)備,防止被不法分子攻擊和利用。
與此同時(shí),辛陽(yáng)也指出,為了避免個(gè)人信息安全遭受不法侵害,除了需要提升個(gè)人的信息安全意識(shí)之外,還需要政府和行業(yè)采取相應(yīng)規(guī)范措施,從整體上提升國(guó)家的信息安全水平。
“物聯(lián)網(wǎng)技術(shù)的發(fā)展已經(jīng)將人與人、人與物、物與物緊密地聯(lián)系在一起。惡意攻擊不僅僅局限于使用傳統(tǒng)的技術(shù),周圍環(huán)境中的聲音、震動(dòng)等都可能被用來(lái)實(shí)施攻擊。”黃欣沂表示,這些新變化也對(duì)做好網(wǎng)絡(luò)空間安全防護(hù)提出了新的挑戰(zhàn)。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與每日科技網(wǎng)無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
本網(wǎng)站有部分內(nèi)容均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),若因作品內(nèi)容、知識(shí)產(chǎn)權(quán)、版權(quán)和其他問(wèn)題,請(qǐng)及時(shí)提供相關(guān)證明等材料并與我們聯(lián)系,本網(wǎng)站將在規(guī)定時(shí)間內(nèi)給予刪除等相關(guān)處理.
精彩推薦
-
采購(gòu)拿回扣問(wèn)題,教你一個(gè)小妙招,看看怎么做!
2017-09-18 11:09 廣告 閱讀
-
苦逼的老板,教你一個(gè)小妙招,怎么防采購(gòu)拿回扣!
2017-09-18 11:09 廣告 閱讀
-
傳播易上線視頻制作頻道
2020-11-18 14:03:07 更新 閱讀
-
移卡(09923.HK)發(fā)布2022年年度業(yè)績(jī) 收入超預(yù)期
2023-03-28 14:53:57 更新 閱讀
-
移卡公布2022年到店電商業(yè)績(jī) GMV同比增長(zhǎng)733.1%
2023-03-28 11:37:49 更新 閱讀
-
視頻面試——社恐福利!不用見(jiàn)面也能拿offer
2023-03-23 13:39:39 更新 閱讀
-
1+X無(wú)代碼研習(xí)營(yíng):讓無(wú)代碼助力軟件開(kāi)發(fā)團(tuán)隊(duì)釋放
2023-03-16 14:48:09 更新 閱讀
-
ChatGPT之后 標(biāo)貝科技關(guān)于如何為預(yù)訓(xùn)練大語(yǔ)言模
2023-03-15 17:52:37 更新 閱讀
-
云原生安全,會(huì)有一個(gè)較大的潛在市場(chǎng)|統(tǒng)信軟件
2023-03-15 17:51:39 更新 閱讀