來自美國和中國的研究人員表明,亞馬遜的Alexa,Apple的Siri和Google Assistant將跟隨Music中隱藏惡意的語音命令。
數字助理安全問題並不是什麼新鮮事。但是,這是最新的不同,因為它甚至可能受害最謹慎的用戶,因為潛意識的語音命令是無法檢測到的。
藏在音樂中的數字助手的惡意語音命令
在過去的兩年中,研究人員在大學實驗室工作了隱藏的命令,只有Siri,Alexa和Google Assistant才能接手,而不是人類。
2016年,喬治敦大學和加州大學伯克利分校的學生表明,可以將命令隱藏在來自揚聲器或YouTube視頻的白噪聲中,以使智能設備執行諸如打開網站和激活飛機模式之類的功能。在研究的最新發展中,一些加州大學伯克利分校的學生決定一種將命令隱藏在音樂或口語文本錄音中的方法。
加州大學伯克利分校(UC Berkeley)說:“我們想看看是否可以使它更加隱秘。”學生尼古拉斯·卡利尼(Nicholas Carlini),這項研究的作者之一出版在線的。該小組提供了嵌入語音命令的歌曲樣本,以使數字助手做特定的事情,包括訪問網站,打開GPS和撥打電話。
黑客已經使用該方法了嗎?
根據卡利尼的說法,沒有證據表明攻擊者已經開始在現實世界中使用這種方法。但是,他補充說,這可能只是時間問題,卡利尼假設黑客已經開始嘗試複製他的團隊的工作。
儘管研究人員所證明的未被發現的語音命令是無害的,但攻擊者如何利用該技術很容易。他們可以讓數字助手解鎖智能房屋的門,通過銀行應用程序轉移資金,並從在線零售商處購買商品,而所有這些都不知道發生了什麼。
想要的常規用戶保護他們本人最早在攻擊中就可以使用一些選擇。用於設備的所有者Alexa和Google助手,他們可以利用可選功能,該功能將基於語音模式鏈接到特定用戶的個人信息鏈接。同時,iPhone和iPad所有者對西里要求iOS設備在允許訪問敏感信息之前被解鎖。
亞馬遜,蘋果和Google保護客戶的一種方法是進一步開發語音身份驗證措施,以便設備只能識別真實用戶的命令。
