該技術的使用超音波入侵語音助手遠非新鮮事。但到目前為止,實施起來還是相當複雜的。不幸的是,新的研究剛剛表明這種類型的攻擊很快就會被大規模利用。無論如何,這就是德州大學和科羅拉多大學的安全研究人員團隊最近的發現所顯示的。事實上,他們已經成功開發了一種名為「近超音波聽不見木馬」(NUIT)的新技術,該技術使他們能夠對攜帶語音助理的設備發動無聲攻擊。
語音助理接收無聲語音指令
研究人員團隊能夠證明市場上的所有語音助理都容易受到他們的新攻擊技術的攻擊。他們發現,嵌入連接設備中的麥克風能夠捕獲並響應超音波中發送的語音命令,因此人耳聽不到。
因此,想要利用這種技術的駭客幾乎無需採取任何行動即可發動攻擊。他們所需要做的就是在播放多媒體內容的網站中隱藏超音波語音命令,或者直接在 YouTube 影片中隱藏超音波語音命令,以在您不知情的情況下喚醒您智慧型手機或連接揚聲器的語音助理。
利用這種技術將使駭客能夠透過語音助理做一切可能的事情。因此,他們可以自由地控製家庭自動化設備、打開家中的百葉窗或自動車庫門,甚至竊取您的一些個人資料。
可能透過多種方式進行攻擊
但最有問題的是,這種新的攻擊可以透過兩種方式發動。第一個直接發生在攻擊目標設備上。事實上,這既可能是攻擊的目標,也可能是攻擊的來源。如何 ?很簡單,因為當其所有者在其設備上打開包含聲音的檔案時,它可以讀取聽不見的語音命令。
第二種是透過揚聲器廣播聽不見的語音命令來觸發周圍設備的麥克風。具體來說,您在 PC 或智慧型電視上觀看 YouTube 視頻,並且無需您詢問,智慧型手機或附近連接的揚聲器上的語音助理就會被觸發。
「如果你在智慧電視上觀看 YouTube,那台智慧電視就有揚聲器,對吧? NIGHT 惡意命令的聲音將變得聽不見,它還可以攻擊您的手機並與您的 Google Assistant 或 Alexa 裝置進行通訊。這種情況甚至可能在 Zoom 會議期間發生。如果有人取消麥克風靜音,他們就可以整合攻擊信號來入侵會議期間放置在計算機旁邊的手機”,解釋說陳格尼維爾,這項發現背後的研究人員之一。
防禦這些攻擊的簡單方法
一旦駭客獲得對您設備的存取權限,他們就可以發送聽不見的語音命令,要求語音助理將音量調至最低。因此,他們將能夠阻止您聽到語音助理的回應,並能夠謹慎地進行其他攻擊。然而,揚聲器必須處於一定的音量等級才能成功攻擊語音助理。此外,聽不見的惡意指令的執行時間不得超過 77 毫秒。
「這不僅僅是軟體問題或惡意軟體。這是一種利用互聯網的硬體攻擊。這個漏洞是麥克風設計中的非線性,製造商應該修復這個問題[…] 在我們測試的17 款智慧型裝置中,使用Siri 的Apple 裝置需要使用使用者的語音,而其他語音輔助設備可以使用任何語音(甚至是機器人語音)來啟動。 »研究人員補充道。
為了防止可能利用此漏洞的攻擊,研究人員團隊沒有什麼靈丹妙藥,但給出了一些常識性建議。因此,她建議對您的語音助理進行身份驗證,在點擊連結時謹慎行事,並授予存取設備麥克風的授權。最後,她建議使用耳機而不是揚聲器:「使用耳機設定了一個限制,即耳機發出的聲音太小而無法傳輸到麥克風。如果麥克風無法接收到聽不見的惡意命令,則NIGHT無法惡意啟動目標語音助理”,她解釋道。
來源 : 電腦發出蜂鳴聲
