進入第4季,華為、小米、魅族、OPPO等大陸手機大廠紛紛推出旗艦智慧型手機,與iPhone 8 及iPhone X搶奪市場,但是一項研究顯示,無論蘋果、三星或大陸生產的手機,都有可能被一種人們聽不見的超聲波控制,聽從這種「海豚音」指示而做出各種操作。這種針對智慧手機語音助理功能的攻擊,已成為各大廠家頭痛的問題,同時也在積極研發對策。
經濟日報 文/賴錦宏
這種「海豚音」,一般人完全聽不見,但是手機卻能按照指示「唯命是從」,它可以讓手機持用者在毫無察覺的情況下,用人耳聽不到的超聲波啟動手機語音助手功能,包括網購、撥打電話、查看文檔甚至是網路銀行等動作。只要裝載了語音助手的設備都可能被攻擊,這些設備接入物聯網,將會為使用安全埋下大隱患。
這種被命名為「海豚音攻擊」的新型攻擊,連蘋果、三星、華為等大廠都有風險。研究人員對「海豚音攻擊」進行了近 2,000 次的實驗,測試物件包括蘋果Siri、亞馬遜Alexa、三星SVoice、微軟 Cortana以及華為HiVoice等六種市場上已廣泛使用的智慧語音助手,除沒能把一支iPhone 6 Plus 上的 Siri 喚醒外,其餘測試均顯示成功。
這個研究團隊來自浙江大學電氣工程學院智慧系統安全實驗室,主持人徐文淵教授稱,之所以把這種攻擊命名為「海豚音攻擊」,是因為海豚的叫聲是一種超聲波。「我們設計了一種完全無聲的攻擊,將正常的語音調製成超聲波載波上的語音命令,當其頻率大於2萬赫茲時,人耳無法聽見,但手機的語音助手依然可以接收這樣的命令。」
新華網報導,在操作實驗中,研究人員用事先錄製好的語音對著一台iPhone SE說:「嗨,Siri,撥打 1234567890。」
隨即Siri回應了這個指令,撥出電話。接著研究人員掛掉電話,鎖住螢幕,再用一個超聲波播放機把人聲的頻率轉化成超聲波頻率,然後對Siri發出相同指令,它同樣回應且撥出了電話。
「海豚音攻擊」的威脅並不僅局限在智慧型手機的語音助手。在一項實驗測試中,研究人員利用超聲波「駭」進了車載電腦語音助手,並開啟了汽車天窗。
換句話說,有語音助理功能的車用電腦,也很容易被入侵。據該團隊宣稱,目前最先進的超聲波發射器可以在2公里之內都能入侵,這也意味著未來更多的攻擊可能性。這在物聯網和智能家電,應用語音助手功能愈來愈多的情況下,「海豚音」攻擊成為潛在的威脅。
大陸360安全研究員嚴敏睿認為,「海豚音攻擊」的發現,讓研究人員開始關注除手機系統本身外的硬體安全問題。「這也就意味著手機如果被入侵,駭客就可以獲取更多的用戶隱私數據。」
原文連結:https://money.udn.com/money/story/10868/2838271
延伸閱讀:
