研究:语音助手能被人耳听不到的声音控制,黑客可轻松打开你家大门
小明评测智能家居网讯:一项研究指出Siri、Cortana、Alexa等语音助理存在设计上的漏洞,可让黑客将语音命令转为人耳听不到的超高频率,在用户不察的情形下对语音助理下达命令,命令拨出电话、造访恶网站、下载恶意软件或开启用户家大门等等。
据悉,亚马逊Alexa、苹果Siri和Google Assistant等主流产品都没能幸免,它们均能被黑客劫持。
中国浙江大学的6名研究人员近日发表了一篇研究论文,指出市场上的各种数字语音助理皆含有设计漏洞,黑客只要将语音命令转成人耳听不见的超高频率,以悄悄地要求装置执行命令,研究人员把这类的攻击命名为“海豚攻击”(DolphinAttack)。
被点名的数字语音助理包括苹果的Siri、Google Now、Samsung S Voice、华为的HiVoice、微软的Cortana,以及Amazon的Alexa。
DolphinAttack的攻击原理来自于一般人可以听到介于20到2万赫兹之间的声音频率,于是黑客制造了高于2万赫兹的超高声音频率(Ultrasonic Frequency),人耳听不见,但上述数字语音助理却听得见,于是黑客便可在使用者听不见的状态下秘密释出指令。
他们将语音命令以超声波的形式发送给语音助手并成功控制设备,而这些声音是人耳听不到的。利用这种方法,研究人员可以命令iPhone“给1234567890打电话”或让MacBook打开一个恶意网站。
也许是呼叫内建Alexa的Echo装置开启智能锁,或者是呼叫手机上的Siri拨打任意号码,也能要求Mac上的Siri造访恶意网站,甚至是改变Audi Q3汽车上导航系统的目的地。
研究人员用来展示DolphinAttack的工具包括一支手机,以及一个以3美元成本制造的装置,该装置的零件包含扩大机、超高频率传感器与电池。
其实造成这一问题硬件和软件都有责任,因为硬件会负责采集超声波,而软件则负责分辨人类语音和计算机合成的声音。
在大多数情况下,黑客相对这些设备下手必须离得很近,但研究人员也尝试过在几英尺外“发动攻击”,Apple Watch就很容易被攻破。
不过,要执行海豚攻击必须在距离声控装置1.8米的范围内,且这些声控装置是随时开启的,此外,大部份的声控装置在接收到指令时通常会发出声音而让使用者有所警觉。 研究人员则建议语音数字助理的开发商可限制相关技术所能接收到的声音频率,例如直接拒绝人耳收不到的频率以避免遭到黑客滥用。
普林斯顿和康奈尔大学也有类似研究,研究人员控制Pixel手机开启飞行模式并偷拍了一张照片。此外,他们还在3米外让Alexa透露了用户的购物清单。
安全公司MWR Security上个月则表示,亚马逊Echo可以被黑客“策反”成间谍设备,因为它有个很明显的硬件漏洞。
推荐阅读:
更智能!保护妳!麻省理工学院研发警告侵害贴纸 Intrepid