最近,国外多家知名科技媒体被这样一则消息刷了屏:无声的音波攻击可以控制Siri、Google Now、Alexa 等语音助手,导致iPhone自动对外拨打电话、访问恶意网址,甚至远程操控诸如智能汽车、智能家居等设备!
而在实验室场景中,这种被命名为“海豚音攻击”的新型黑客攻击方式可以在用户毫无察觉的情况下,用人耳听不到的超声波启动手机语音助手功能,实现包括网购、拨打电话、查看文档等在内的一系列私密操作。
智能手機扛不住“海豚音”
在浙江大学电气工程学院智能系统安全实验室内,徐文渊教授研究团队进行了验证实验,将人声加载为人耳听不见的超声波,对一款苹果手机进行模拟攻击。研究人员用事先录制好的语音对着一台iPhoneSE说:“嗨,Siri,拨打1234567890。”Siri响应了这个指令,拨出电话。研究人员挂掉电话,锁住屏幕,再用一个超声波播放器把人声的频率转化成超声波频率,对Siri发出相同指令,它同样响应且拨出了电话。
此后,研究人员对多款智能手机的语音助手进行了“海豚音攻击”测试,最终可以达到无声开启语音助手,拨打任意电话、发短信、视频通话,将手机切换到飞行模式等操作。
经过深入的测试,研究人员还发现“海豚音攻击”可以影响智能汽车和智能家居的语音控制系统,通过攻击打开特定的网页和安装特定的软件,实现对汽车和家居系统的远程控制,比如开启汽车天窗、操作汽车导航系统等。
徐文渊介绍,他们之所以把这种攻击命名为“海豚音攻击”,是因为海豚的叫声是一种超声波。“我们设计了一种完全无声的攻击,将正常的语音调制成超声波载波上的语音命令,当其频率大于2万赫兹时,人耳无法听见,但手机的语音助手依然可以接收这样的命令。”
科学家先于黑客发现漏洞
智能手机在面对“海豚音攻击”时显得毫无招架之力,值得庆幸的是,科学家先于黑客发现了这个漏洞,并已向有关手机厂商提交了实验数据。
“海豚音攻击”对普通人究竟会有什么影响?在浙江某企业从事融资上市工作的胡先生说,自己经常使用手机查阅工作邮箱和微信,里面含有一些商业敏感信息,“手机一旦被谈判对手用这种方式‘黑进,那我们谈判的筹码就没了。”
尽管研究团队的验证结果都是在2米之内的距离下产生,但据该团队介绍,目前最先进的超声波发射器可以实现2千米范围的传播,这也意味着未来更多的攻击可能性。
有可能升级为手机用户安全新隐患的“海豚音攻击”也并非防不胜防,可推广的防御手段包括以升级软件的方式替代硬件召回、建立行业准入机制、及早预警等。有专家建议,有关部门应尽早介入调查,发布该漏洞信息,督促相关手机生产厂商加快推出漏洞补丁,以保障用户财产权和隐私权。endprint
