2025 CES文章顶部

警惕!语音助手“劫持”技术又升级了

与此前的语音助手的漏洞不同的是,SurfingAttack在传播介质和传播方式方面的转变更像是一个升级版,从某种程度来说,危险程度更高。

SurfingAttcak工作原理

SurfingAttcak工作原理

日前,在加州召开的国际信息安全界顶级会议“网络与分布式系统安全会议”上,来自密歇根州立大学严奇犇教授带领的SEIT实验室,联合圣路易斯华盛顿大学、内布拉斯加林肯大学和中国科学院的学者发布了一项最新的研究技术——SurfingAttack。

据了解,SurfingAttack是一种崭新的且具有颠覆性的攻击技术,依托固体材料中声音传输的独特属性而设计,通过利用在固体介质中传播的超声波导波,进而达到攻击语音控制系统的操作。

其中,该攻击可以在更长的距离内使声控设备与攻击者之间进行多轮交互,而不受视距的限制。而静音攻击交互循环的操作则意味着SurfingAttack可以在其中启用新的攻击方案,比如劫持移动短消息服务(SMS)例如验证密码,或在用户毫无感知的情况下利用用户的手机和合成声音进行难以防范的虚假欺诈呼叫(电信诈骗)等。

此前,严奇犇教授曾向英国科技媒体The Register的记者介绍到,“我们相信SurfingAttack是一种非常现实的攻击。信号波形发生器是唯一体积庞大的设备。一旦我们用智能手机替换了它,攻击设备就可以随身携带了,这意味着这种攻击的辐射范围正朝着坏的方向发展。”

SurfingAttack和此前语音“劫持”的手段有什么不同?

利用黑客技术“劫持”语音助手并不鲜见,早在2017年,《每日电讯报》就曾报道过相关研究人员发现了此类技术漏洞,将语音命令以超声波的形式发送给语音助手并成功控制设备。在实验中,浙江大学研究人员控制了当下最流行的设备,如iPhone和MacBook、Galaxy S8、亚马逊Echo和Windows 10电脑等。

这项技术给黑客提供了很大的想象空间,他们可以利用这个漏洞来控制设备,进而命令它们执行一些非法任务,例如下载恶意软件或开启用户家大门。

从某种程度上来说,SurfingAttack相当于上述技术的进化版。不同点在于,SurfingAttack主要集中在对传播介质和传播方式的研究,即在桌面上利用超声导波发布相关控制命令。跟原来相比,通过桌面传播攻击信号意味着攻击设备在隐蔽性有所提升,而造价却比以往要降低很多,一个只需5美金。”严奇犇教授向钛媒体介绍到。

研究团队在实验中发现,静音超声波在桌面上传播会引起超微的振动,根本不会引起被攻击者的感知。通过超声波激活语音助手后,手机听筒将被唤醒。再通过脉冲发送的无声命令会秘密地指示手机助手执行各种任务,比如使用前置摄像头拍照,读出手机短信以及对联系人进行欺诈性呼叫等。而放置在桌子下方的窃听设备可记录助手执行的任务,并将音频传播回笔记本电脑以转录响应过程。

这就意味着SurfingAttack属于交互式的攻击,它不像空中拦截,声音信号主要由发送方通过电脑生成,继而将命令调至到高频的载波上面,然后再通过桌面介质传输到手机上,换句话说,当你手机上语音助手功能越强大时,隐藏在其中的危险系数就有多高。

严奇犇告诉钛媒体,手机麦克风的品质不一,造成了放大器在遇到非线性干扰时响应程度不一。眼下的现状是,很多智能手机的Google助手都可以通过随机的人声来激活和控制。

当很多人将手机放在桌子上无人看管的场景出现时,对于别有用心的人来说,这显然是个绝佳的空档期。

隐蔽、高效、还难防御……

对于如何有效防御SurfingAttack,严奇犇研究团队给出的建议主要有两个方向。

一方面,用户可以在Android系统中关闭锁屏个人信息(或语音匹配解锁功能,或者在设备锁屏时禁用语音助手,并在不使用时勿忘及时锁定设备;另一方面,用户密切留意放置在桌面上的设备,减少桌子与手机的接触面积,可以将设备放在柔软的编织物上而非直接接触桌面,或者使用较不常见的材料(例如木质材料)制成的较厚的手机壳。

严奇犇团队在实验中观察到,不同材料制成的桌面SurfingAttack的攻击效果不一。

在长达10米的金属桌面上,超声导波可以从一端发送到另外一端,控制效果明显。当介质换成木质桌面后,40-50厘米便是极限。
实验过程

实验过程

“这其实与超声导波传输原理有关,玻璃、金属材料桌面对于SurfingAttack的响应效果明显,在木质材料和多层毛绒桌面上,则会产生衰减信号,进而达到抑制的效果,原因是在多孔的材料上,会对超声导波的传输产生干扰效应,甚至有可能抵消掉。令人担忧的是,玻璃、金属材料桌面是当下主流。”严奇犇补充到。

在注重隐私保护的当下,SurfingAttack的出现值得引起业界警惕。(本文首发钛媒体,作者 | 桑明强)

本文系作者 桑明强 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
本内容来源于钛媒体钛度号,文章内容仅供参考、交流、学习,不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
  • 没想到会有这种科技,涨知识,也提醒我们要注意网络安全。

    回复 2020.08.03 · via android

快报

更多

17:46

宁波富达:拟以现金方式取得晶鑫材料不少于45%股权

17:45

香港证监会将迅速发牌程序延伸至虚拟资产交易平台牌照的新申请者

17:42

巴克莱将美联储结束量化紧缩的预期时间推迟至9月

17:41

宸泰新材完成数千万元融资,比邻星创投及中鑫资本投资

17:41

长三角硬科技基金落地

17:40

仙微视觉完成逾亿元A轮融资,礼来亚洲基金领投

17:36

中国太保:太保寿险2024年原保险保费2388亿元,同比增2.4%

17:35

中东石油基准阿曼和迪拜原油价格的溢价已达到自2022年11月以来的最高水平

17:35

东湖高新:预计2024年实现净利润5亿元到6亿元,同比下降44%到54%

17:34

纬创2024年税后纯益174.39亿新台币创新高

17:34

宁波均胜电子股份有限公司向港交所递交上市申请

17:32

国务院原则同意《常州市国土空间总体规划(2021—2035年)》

17:32

商务部新闻发言人就国内有关芯片产业反映自美进口成熟制程芯片低价冲击国内市场事答记者问

17:28

港交所:贝莱德在山东黄金H股的多头头寸增至6.36%

17:27

浙商证券:因工作调整,张晖辞去副总裁、首席风险官职务

17:27

西藏震区找回现金近700万元

17:25

*ST汉马:2024年预计扣非利润为亏损10.25亿到10.55亿

17:24

泳池清洁机器人企业“智橙动力”获科沃斯数千万战略投资

17:22

商务部新闻发言人就对原产于美国、欧盟、台湾地区和日本的进口共聚聚甲醛反倾销调查初裁答记者问

17:21

3连板天下秀:不存在应披露而未披露的重大信息

1

扫描下载App