有沒有想過假如你的智能手機開始打電話，發(fā)信息并瀏覽惡意網(wǎng)站，那是什么情況呢？這不是危言聳聽，因為黑客可以通過手機語音助手實現(xiàn)這一操作。

浙江大學的一個安全團隊發(fā)現(xiàn)了一種無需機主說話就激活語音識別系統(tǒng)的方法，而且此法適用于所有主流語音助手。此法名為“海豚攻擊”，攻擊者將超聲波頻率導入語音助手的指令中，這種指令人類聽不見，但卻能被智能設備捕捉。具備了這一技術，網(wǎng)絡罪犯就可以悄無聲息地劫持Siri和Alexa等語音助手，而且可迫使語音助手打開惡意網(wǎng)站，甚至可能打開智能鎖。

這種攻擊適用于所有主流語音識別平臺，影響的移動平臺包括iOS和安卓系統(tǒng)。所以，無論你是用蘋果還是Nexus還是三星，你的設備都存在風險。海豚攻擊適用于一切語音助手，包括Siri，谷歌語音助手，三星S語音，華為HiVoice，Cortana以及Alexa，還有iPads，MacBook，亞馬遜Echo甚至是奧迪Q3，總共16款設備，7種系統(tǒng)，無一幸免。此攻擊利用了人耳不能接收20kHz頻率以上聲波的特性。但是麥克風軟件可以檢測20kHz頻率以上的聲波。海豚攻擊使得語音助手很容易被劫持。

攻擊者利用這種技術可以做什么？

攻擊者可以發(fā)送超聲波指令讓設備執(zhí)行惡意操作，包括瀏覽惡意網(wǎng)頁，并且可以從這樣的網(wǎng)頁發(fā)起下載驅(qū)動型攻擊或者利用所劫持設備的零日漏洞進行攻擊。
監(jiān)聽操作——讓劫持的設備撥出視頻通話或撥出電話，然后就能獲得訪問設備圖片和聲音的權限。
輸入虛假信息——攻擊者可以讓被劫持設備發(fā)送虛假信息，郵件并發(fā)布虛假帖子，或在日歷中假如虛假事件。
DoS——可輸入指令將設備調(diào)成飛行模式，從而斷開所有WiFi連接。

可操作范圍

掩飾攻擊——由于屏幕顯示和聲效都會暴露攻擊，所以攻擊者可通過調(diào)暗屏幕和調(diào)低音量掩飾自己的攻擊行為。研究者們通常發(fā)送的超聲波頻率是25到39kHz。攻擊范圍最大可達175厘米，具有很好的可操作性。更糟糕的是，即便是攻擊者沒有直接訪問設備的情況下，這種人耳聽不見的指令在所有被測硬件上可以被語音識別系統(tǒng)準確翻譯。

如果防御海豚攻擊？

浙江大學這個安全團隊建議設備廠商做一些硬件替換，將設備調(diào)整為自動忽略頻率為20kHz的指令或者任何其他不能被人耳聽到的指令。研究者還表示，“要改進麥克風，使其能拒絕任何超聲波信號?！睂τ诮K端用戶而言，防御這類攻擊的快速方案是在官方補丁出來之前，關閉有語音助手的應用。

關閉語音應用簡單步驟：

禁用iPhone：
iPad或iPod touch上的Siri：進入“設置”頁面→點擊“通用”→點“訪問限制”→Siri，禁用Siri即可。

關閉Cortana：
打開Windows PC端的Cortana，選擇右邊的Notebook圖標，點設置，然后禁用Cortana。

關閉亞馬遜Echo的助手Alexa：
關閉頂部元件的麥克風按鈕，指示燈會變成紅色，Echo就會停止響應你的喚醒指令，直到你再把麥克風打開。

關閉Google Home：
將Google Home的麥克風靜音，按住后部的物理靜音鍵。

ice

收藏 海報分享