近日,一群來自浙江大學的研究人員發現了新的漏洞方法,可以對市面上超過九成的智慧語音助理發動攻擊,他們將這個攻擊手法稱之為「海豚攻擊」。
本次發現的攻擊手段其實理解起來並不難,但成效驚人。研究人員將人類平常對智慧語音助理發出的語音指令,用超音波的方式播放給受攻擊的裝置。這些超音波一般人是無法聽見的,但是這些智慧語音助理的麥克風卻收得到,並因此啟動對應的功能,從而達到秘密攻擊的目的:在使用者不知情的狀況下觸發智慧語音助理。
由於利用了超音波與受攻擊的智慧語音助理溝通,就有如海豚彼此使用超音波溝通一般,因此這樣的攻擊手段才被研究人員命名為「海豚攻擊」。
市面上已知的設備幾乎無一倖免
這樣的攻擊設備製作起來其實也不難,只要用一隻事前安裝好相關軟體的智慧型手機,搭配一個音訊放大器、一個喇叭,以及供應放大器與喇叭的電池,就完成簡易攻擊裝置的製作,整套設備的成本不包含手機的話在新台幣 100元內就可以搞定。
研究人員對市面上已知的大部分智慧語音助理設備進行了測試,包含了蘋果公司出品的各項移動裝置、智慧型手表、市面上常見的筆記型電腦與智慧音箱,甚至是奧迪汽車部分車款上配備的智慧語音系統,而測試結果非常驚人:所有受測的設備無一倖免,全部都會受到攻擊。
必須提到的是,尚不了解這樣的攻擊方式對三星旗艦手機中的 Bixby 是否有效,因為該產品並沒有在研究人員的測試項目內出現,原因不明,推測可能是測試進行的時候該產品尚未面市。
一旦受到攻擊,人生整個被操控
這樣的攻擊恐怖之處在於,現今的社會中有非常多的裝置,都是透過物聯網連接的,或本身具備有語音控制功能,從家中的電燈、門鎖、插座、手機一直到汽車,能執行的動作也越來越多元,撥打電話、訂購商品、更改會議時間、操控家中電器……等等。透過這種攻擊方式,若被攻擊者的生活環境是高度物聯網化與智慧化的狀況下,攻擊者等於可以隨心所欲的駭入被攻擊者的真實人生中。
試想這樣的情景:某天當你在家中悠閒地聽著音樂,做在客廳的沙發中,喝著熱騰騰的咖啡,突然間,你家的電燈被關掉了,你放下書本,正在納悶發生了什麼事情,這時,門鈴響起,你起身開門,卻是一個送貨員,表示你稍早的時候訂購了 100 盒的披薩,而且已經付款;當你還在震驚的時候,卻發現你家的大門自己關了起來,還把你所在外面;就在你開始驚慌失措時,你的老闆打來了,質問你為什麼明明把開會時間改到半小時前,你卻沒有出現;而就在你以為狀況已經夠慘的時候,你看到你家車庫大門開啟,你的汽車自己發動後緩緩地開了出去,但車上卻空無一人……。
再不補救,未來可能真的成為夢靨
還好,上述的劇情目前還不太可能發生。研究人員指出,目前他們研究出的這套攻擊手段,攻擊者的裝置必須距離受攻擊的智慧語音助理兩公尺之內,因此目前暫時還沒辦法在不靠近受攻擊裝置的前提下發重「海豚攻擊」;另外由於目前大部分的智慧語音助理都是採取「互動對話」模式,因此就算受攻擊者聽不到攻擊者發出的指令,但智慧語音助理依然會發出聲音回應那並非由主人所發出的「命令」,讓受到攻擊者察覺有異,進而發現遭到攻擊。
但如果相關的廠商再不正視這樣的安全隱患,若有心人士在未來發展出更高階的攻擊設備的話,上述的攻擊劇情終有噩夢成真的一天。
參考資料來源:
浙江大學研究報告:DolphinAttack: Inaudible Voice Commands
cnBeta:所有语音助手都存漏洞 浙江大学发现DolphinAttack攻击手段
〈本篇文章供合作夥伴轉載,首圖來源:HypnoArt , CC Licensed。 〉
延伸閱讀
天才駭客少年用一隻「熊」駭進全場藍芽:「物聯網沒有做好保護,就全是漏洞」
【台灣工業 4.0 轉型錦囊】製造業者注意:工業 4.0 時代沒做好資安,轉型就只轉一半
【HITCON 駭客年會】一支手機就能偷走整台車?Gogoro 資安 Bug 被台灣駭客抓到了
