该技术的使用超声波入侵语音助手远非新鲜事。但到目前为止,实施起来还是相当复杂的。不幸的是,新的研究刚刚表明这种类型的攻击很快就会被大规模利用。无论如何,这就是德克萨斯大学和科罗拉多大学的安全研究人员团队最近的发现所表明的。事实上,他们已经成功开发了一种名为“近超声听不见木马”(NUIT)的新技术,该技术使他们能够对携带语音助手的设备发起无声攻击。
语音助手接收无声语音命令
研究人员团队能够证明市场上的所有语音助手都容易受到他们的新攻击技术的攻击。他们发现,嵌入连接设备中的麦克风能够捕获并响应超声波中发送的语音命令,因此人耳听不到。
因此,想要利用这种技术的黑客几乎无需采取任何行动即可发起攻击。他们所需要做的就是在播放多媒体内容的网站中隐藏超声波语音命令,或者直接在 YouTube 视频中隐藏超声波语音命令,以在您不知情的情况下唤醒您智能手机或连接扬声器的语音助手。
利用这种技术将使黑客能够通过语音助手做一切可能的事情。因此,他们可以自由地控制家庭自动化设备、打开家中的百叶窗或自动车库门,甚至窃取您的一些个人数据。
可能通过多种方式进行攻击
但最有问题的是,这种新的攻击可以通过两种方式发起。第一个直接发生在攻击目标设备上。事实上,这既可能是攻击的目标,也可能是攻击的来源。如何 ?很简单,因为当其所有者在其设备上打开包含声音的文件时,它可以读取听不见的语音命令。
第二种是通过扬声器广播听不见的语音命令来触发周围设备的麦克风。具体来说,您在 PC 或智能电视上观看 YouTube 视频,并且无需您询问,智能手机或附近连接的扬声器上的语音助手就会被触发。
“如果你在智能电视上观看 YouTube,那台智能电视就有扬声器,对吧? NIGHT 恶意命令的声音将变得听不见,它还可以攻击您的手机并与您的 Google Assistant 或 Alexa 设备进行通信。这种情况甚至可能在 Zoom 会议期间发生。如果有人取消麦克风静音,他们就可以整合攻击信号来入侵会议期间放置在计算机旁边的手机”,解释说陈格尼维尔,这一发现背后的研究人员之一。
防御这些攻击的简单方法
一旦黑客获得对您设备的访问权限,他们就可以发送听不见的语音命令,要求语音助手将音量调至最低。因此,他们将能够阻止您听到语音助手的响应,并能够谨慎地进行其他攻击。然而,扬声器必须处于一定的音量水平才能成功攻击语音助手。此外,听不见的恶意命令的执行时间不得超过 77 毫秒。
“这不仅仅是软件问题或恶意软件。这是一种利用互联网的硬件攻击。该漏洞是麦克风设计中的非线性,制造商应该修复这个问题 […] 在我们测试的 17 款智能设备中,使用 Siri 的 Apple 设备需要使用用户的语音,而其他语音辅助设备可以使用任何语音(甚至是机器人语音)来激活。 »研究人员补充道。
为了防止可能利用此漏洞的攻击,研究人员团队没有什么灵丹妙药,但给出了一些常识性建议。因此,她建议对您的语音助手进行身份验证,在点击链接时谨慎行事,并授予访问设备麦克风的授权。最后,她建议使用耳机而不是扬声器:“使用耳机设置了一个限制,即耳机发出的声音太小而无法传输到麦克风。如果麦克风无法接收到听不见的恶意命令,则NIGHT无法恶意激活目标语音助手”,她解释道。
来源 : 电脑发出蜂鸣声
