安全動(dòng)態(tài)

谷歌、蘋果、三星語(yǔ)音助理全中招,海豚攻擊可用聲波遙控手機(jī)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-03-05    瀏覽次數(shù):
 

信息來(lái)源:安全牛



人工智能面臨的最大威脅是什么?當(dāng)然是人工智能了。

對(duì)于智能手機(jī)和智能音箱語(yǔ)音助手的用戶來(lái)說(shuō),下面是一條令人不安的新聞:安全研究人員近日成功展示了一個(gè)“黑科技”:利用超聲波秘密激活并控制手機(jī),撥打電話、拍照甚至收發(fā)短信,整個(gè)過(guò)程無(wú)需實(shí)際接觸設(shè)備。

美中大學(xué)聯(lián)合團(tuán)隊(duì)將這種攻擊稱為SurfingAttack交互式隱蔽攻擊,可以利用人類聽不見的超聲波遠(yuǎn)程控制語(yǔ)音助手,以及任何支持語(yǔ)音命令的設(shè)備和服務(wù),例如智能手機(jī)和智能音箱。

目前市場(chǎng)上主流的語(yǔ)音助理產(chǎn)品,例如谷歌助理、蘋果Siri和三星Bixby,在聽到主人的命令語(yǔ)句(例如Ok、Google)后,將被激活并監(jiān)測(cè)主人語(yǔ)音并做出響應(yīng)。

而此前安全業(yè)界已經(jīng)發(fā)現(xiàn),用超聲波可以模擬人工智能助理接收的語(yǔ)音命令,只要設(shè)備在攻擊者附近,理論上都可以實(shí)施此類攻擊。

SurfingAttack的創(chuàng)新之處是是能夠使用連接到其下方的圓形壓電圓盤(PZT),通過(guò)智能手機(jī)接觸的玻璃或木桌發(fā)送超聲波命令。

盡管SurfingAttack模擬的辦公室攻擊場(chǎng)景距離只有43厘米,但將信號(hào)收發(fā)裝置隱藏在桌面下仍是一種比以前的技術(shù)更合理,更容易隱藏的攻擊方法。

如展示該方法的視頻所述,遠(yuǎn)程筆記本電腦使用文本語(yǔ)音轉(zhuǎn)換(TTS)模塊生成語(yǔ)音命令,然后使用Wi-Fi或藍(lán)牙將其傳輸?shù)浆F(xiàn)場(chǎng)的收發(fā)裝置。

智能手機(jī)集體淪陷,只有華為、三星手機(jī)“免疫”

研究人員在蘋果、谷歌、三星、摩托羅拉、小米和華為的17種不同型號(hào)的智能手機(jī)(上圖)上測(cè)試了該方法,在其中15款產(chǎn)品上成功部署了SurfingAttack。研究人員能夠激活語(yǔ)音助手,命令他們解鎖設(shè)備,進(jìn)行重復(fù)的自拍照,進(jìn)行欺詐性通話,甚至使手機(jī)讀取用戶的短信,包括SMS驗(yàn)證碼。

值得注意的是,接受測(cè)試的產(chǎn)品中有兩款對(duì)SurfingAttack攻擊“免疫”,分別是華為的Mate 9和三星的Galaxy Note 10,安全研究團(tuán)隊(duì)認(rèn)為,這是是因?yàn)檫@兩款手機(jī)的制造商使用了特定的材料能夠抑制超聲波。

深度偽造“助攻”海豚攻擊

從理論上講,手機(jī)和智能設(shè)備的語(yǔ)音助手只響應(yīng)主人的語(yǔ)音,但是現(xiàn)在攻擊者可以使用機(jī)器學(xué)習(xí)軟件(如Lyrebird)來(lái)克隆語(yǔ)音助手,前提是能夠捕獲并克隆受害者的聲音。

SurfingAttack受到2017 DolphinAttack概念驗(yàn)證的啟發(fā),該概念證明了超聲助手如何劫持語(yǔ)音助手。

除語(yǔ)音外,安全研究者此前還實(shí)施過(guò)其他方式的聲音攻擊來(lái)繞過(guò)物理隔離,例如通過(guò)計(jì)算機(jī)CPU電流聲甚至電腦風(fēng)扇噪音中竊取數(shù)據(jù)。

如何防御SurfingAttack攻擊

★ 留心放在桌面上移動(dòng)設(shè)備。

★ 減少桌子與手機(jī)的接觸表面積。

★ 盡量不要將手機(jī)直接放在堅(jiān)硬的桌面上,放在柔軟的織物上。

★ 請(qǐng)使用不常見的材料(如木頭)制成的較厚的手機(jī)殼(硅膠殼已測(cè)無(wú)效)。

★ 關(guān)閉手機(jī)的鎖屏消息通知顯示和語(yǔ)音解鎖。

★ 鎖屏狀態(tài)禁用語(yǔ)音助手,并在放下設(shè)備時(shí)隨手鎖定設(shè)備。


 
 

上一篇:2020年應(yīng)該認(rèn)真對(duì)待的8種移動(dòng)設(shè)備安全威脅

下一篇:2020年03月5日 聚銘安全速遞