手機(jī)一直隨身攜帶����,綁定的網(wǎng)購(gòu)賬戶(hù)卻“擅自做主”買(mǎi)了一箱牛奶;會(huì)議進(jìn)行中����,手機(jī)居然“自作主張”呼出電話(huà),將會(huì)議“直播”了出去……
有一種“海豚音”����,不動(dòng)聽(tīng),你也聽(tīng)不見(jiàn)���,你的手機(jī)卻“唯命是從”——在實(shí)驗(yàn)室場(chǎng)景中��,可以在手機(jī)用戶(hù)毫無(wú)察覺(jué)的情況下��,用人耳聽(tīng)不到的超聲波啟動(dòng)手機(jī)語(yǔ)音助手功能�,實(shí)現(xiàn)包括網(wǎng)購(gòu)���、撥打電話(huà)����、查看文檔等在內(nèi)的一系列私密操作。
實(shí)驗(yàn):大品牌全沒(méi)扛住“海豚音”
在浙江大學(xué)電氣工程學(xué)院智能系統(tǒng)安全實(shí)驗(yàn)室內(nèi)��,徐文淵教授正和自己的研究生們進(jìn)行驗(yàn)證實(shí)驗(yàn)�����,將人聲加載為人耳聽(tīng)不見(jiàn)的超聲波���,對(duì)一款蘋(píng)果手機(jī)進(jìn)行模擬攻擊�����。
在實(shí)驗(yàn)中��,研究人員用事先錄制好的語(yǔ)音對(duì)著一臺(tái)iPhoneSE說(shuō):“Siri�����,撥打1234567890�?�!彪S即Siri響應(yīng)了這個(gè)指令,撥出了電話(huà)���。接著研究人員掛掉電話(huà),鎖住屏幕���,再用一個(gè)超聲波播放器把人聲的頻率轉(zhuǎn)化成超聲波頻率���,然后對(duì)Siri發(fā)出相同指令,它同樣響應(yīng)且撥出了電話(huà)����。
“海豚音攻擊”的威脅并不僅局限在智能手機(jī)的語(yǔ)音助手上。在一項(xiàng)測(cè)試實(shí)驗(yàn)中����,研究人員利用超聲波“黑”進(jìn)了車(chē)載語(yǔ)音助手,并開(kāi)啟了汽車(chē)天窗�����。
記者實(shí)驗(yàn)現(xiàn)場(chǎng)了解到�����,研究人員對(duì)“海豚音攻擊”進(jìn)行了近2000次的實(shí)驗(yàn),測(cè)試對(duì)象包括蘋(píng)果Siri�����、亞馬遜Alexa����、三星SVoice、微軟Cortana以及華為HiVoice等在內(nèi)的6種極為廣泛使用的智能語(yǔ)音助手����,除了沒(méi)能把一臺(tái)iPhone 6Plus上的Siri喚醒外,其余測(cè)試均顯示成功�。
回應(yīng):安卓認(rèn)為可通過(guò)硬件修復(fù)
知名品牌手機(jī)面對(duì)“海豚音攻擊”時(shí)顯得毫無(wú)招架之力,值得慶幸的是�,科學(xué)家先于黑客發(fā)現(xiàn)了這個(gè)漏洞,并已向有關(guān)手機(jī)廠(chǎng)商提交了實(shí)驗(yàn)數(shù)據(jù)����。
記者調(diào)閱了研究團(tuán)隊(duì)與各手機(jī)廠(chǎng)商的往來(lái)郵件記錄,其中華為��、亞馬遜和三星三家反應(yīng)最為積極����,均表示正在積極調(diào)查有關(guān)漏洞��;蘋(píng)果�、谷歌和安卓則僅表示收悉相關(guān)內(nèi)容��,將會(huì)給予反饋�。截至記者發(fā)稿,后三家公司中���,僅安卓公司于近日向徐文淵團(tuán)隊(duì)發(fā)來(lái)最新郵件回復(fù),稱(chēng)“在經(jīng)過(guò)技術(shù)和安全團(tuán)隊(duì)的調(diào)查后���,我們認(rèn)為這個(gè)漏洞最好在未來(lái)通過(guò)手機(jī)的硬件進(jìn)行修復(fù)”��。
建議:加快出臺(tái)行業(yè)準(zhǔn)入標(biāo)準(zhǔn)
有可能升級(jí)為手機(jī)用戶(hù)安全新隱患的“海豚音攻擊”也并非防不勝防�,可推廣的防御手段包括以升級(jí)軟件的方式替代硬件召回�����、建立行業(yè)準(zhǔn)入機(jī)制�、及早預(yù)警等。
該團(tuán)隊(duì)建議重新設(shè)計(jì)語(yǔ)音可控制系統(tǒng)以防御聽(tīng)不到的語(yǔ)音命令攻擊����?!巴ㄟ^(guò)軟件升級(jí)的方式讓硬件‘學(xué)會(huì)’辨識(shí)聲音來(lái)源究竟是人聲還是超聲波���,可比召回所有智能手機(jī)進(jìn)行硬件調(diào)整效率更高�?���!毙煳臏Y說(shuō)。
專(zhuān)家因此建議�,有關(guān)部門(mén)盡早介入調(diào)查,發(fā)布該漏洞信息����,督促相關(guān)手機(jī)生產(chǎn)廠(chǎng)商加快推出漏洞補(bǔ)丁,以保障用戶(hù)財(cái)產(chǎn)權(quán)和隱私權(quán)���。同時(shí)��,有關(guān)部門(mén)也應(yīng)加快出臺(tái)相應(yīng)的行業(yè)準(zhǔn)入標(biāo)準(zhǔn)�,對(duì)包括可執(zhí)行操作指令的收聲傳感器在內(nèi)的新興電子元器件劃定“安全紅線(xiàn)”�����。 據(jù)新華社
