安全研究人員：黑客可以用超聲波激活蘋果Siri語音助手

2020-02-29 19:37:19

字體：大中小

來源：轉載

供稿：網友

據外媒報道，一項新的研究表明，超音波不會發出聲音，但它們仍然可以激活你手機上的語音助手Siri，讓它在手機主人不知情的情況下給陌生人打電話、拍照或閱讀短信內容。

研究人員此前已經證明，超聲波可以用來在空中傳遞單一命令。然而，華盛頓大學圣路易斯分校的最新研究結果表明，超聲波對手機安全造成的潛在危害更大。

華盛頓大學的安全研究人員發現，超聲波可以通過許多固體表面傳播來激活語音識別系統，如果再配合一些廉價的硬件，黑客還可以聽到手機的反應。

這項研究成果已在圣地亞哥舉行的網絡和分布式系統安全研討會上公布。“我們想提高人們對這種威脅的認識。”華盛頓大學麥凱維工程學院的助理教授張寧(Ning Zhang)說，“我希望公眾都知道這一點。”

張和他的研究人員能夠坐在手機主人旁邊的桌子旁，悄悄地向其手機發送“語音”命令。通過增加一個放在隱秘位置的麥克風，研究人員能夠與手機來回通信，最終從遠處控制它。

超聲波是頻率高于人類所能聽到的音頻范圍的聲波。然而，手機麥克風可以聽到和記錄這些更高頻率的聲波。“如果你知道如何處理信號，那么你就可以讓手機麥克風解讀傳入的超聲波，并讓它認為你在發出指令。”張說。

為了測試超聲波通過固體表面傳輸這些“命令”的能力，研究小組進行了一系列實驗。在其中一個實驗中，研究者將一部手機放在桌子上。桌子的底部連著一個麥克風和一個壓電換能器(PZT)，PZT用來將電轉換成超聲波。在離手機不遠的桌子的另一邊，在手機主人看不到的地方，有一個波形發生器，用來產生正確的信號。

該團隊進行了兩項測試，一項是檢索短信(文本)密碼，另一項是撥打欺詐性電話。第一個測試依賴于常見的虛擬助理命令“讀取我的消息”和雙重身份驗證，即向用戶的手機發送密碼(例如，銀行發送的驗證密碼)以驗證用戶的身份。黑客首先命令虛擬語音助理將音量調低到3級，在這個音量下，受害者無法注意到自己的手機在中等噪音水平的辦公環境中的反應。然后，當一條來自銀行的模擬消息到達時，黑客用其設備向被攻擊者的手機發送“閱讀我的消息”命令。桌子下面的麥克風可以聽到反應，但受害者聽不到。

在第二個測試中，攻擊設備發送消息“使用免持話筒呼叫山姆”，從而發起呼叫。黑客利用桌子下面的麥克風，與“山姆”進行了對話。

該團隊測試了17種不同款型的手機，包括流行的iPhone、Galaxy和Moto型號。除了兩款手機之外，其他所有手機都很容易受到超聲波的攻擊。

張說，超聲波可以穿透金屬、玻璃和木頭，有一個簡單的方法可以讓手機免受超聲波的傷害：使用柔軟的編織物來增加“阻抗失配”，換句話說，就是把手機放在桌布上。

上一篇：豌豆莢宣布業務調整將于2月28日關閉PC版在線服務

下一篇：微軟被曝高危漏洞“永恒之黑” 或波及全球10萬服務器