研究人员利用智能设备麦克风和语音助手的漏洞

UTSA电气与计算机工程系副教授Guenevere Chen最近发表了一篇关于USENIX安全2023的论文，展示了一种新颖的听不见的语音木马攻击，以利用智能设备麦克风和语音助手的漏洞 - 如Siri，谷歌助理，Alexa或亚马逊的Echo和微软Cortana，并为用户提供防御机制。

研究人员开发了近超声波听不见木马(NUIT)(法语为“夜间”)，以研究黑客如何利用扬声器并通过互联网远程无声地攻击语音助手。

Chen、她的博士生Xia Xia和科罗拉多大学科罗拉多斯普林斯分校(UCCS)计算机科学教授Shouhuai Xu使用NUIT攻击从智能手机到智能家居设备的不同类型的智能设备。他们的演示结果表明，NUIT在恶意控制流行科技产品的语音界面方面是有效的，并且这些科技产品尽管在市场上，但存在漏洞。

“这个项目在技术上有趣的地方在于，防御解决方案很简单;但是，为了获得解决方案，我们必须首先发现攻击是什么，“徐说。

Chen解释说，黑客用来访问设备的最流行的方法是社交工程。攻击者引诱个人安装恶意应用程序、访问恶意网站或收听恶意音频。

例如，一旦个人在笔记本电脑或移动设备上观看嵌入了 NUIT 音频或视频攻击的恶意 YouTube 视频，他们的智能设备就会变得脆弱。信号可以谨慎地攻击同一设备上的麦克风，也可以通过笔记本电脑、车载音响系统和智能家居设备等其他设备的扬声器渗透到麦克风中。

“如果你在智能电视上播放YouTube，那么智能电视就会有一个扬声器，对吧?NUIT恶意命令的声音将变得听不见，它也可以攻击您的手机并与您的Google Assistant或Alexa设备进行通信。它甚至可以在会议期间发生在 Zooms 中。如果有人取消静音，他们可以嵌入攻击信号来破解您在会议期间放置在计算机旁边的手机，“陈解释说。

一旦他们未经授权访问设备，黑客就可以发送听不见的操作命令来减小设备的音量，并防止语音助手的响应被用户听到，然后再进行进一步的攻击。Chen指出，扬声器必须高于一定的噪音水平才能成功允许攻击，而要成功攻击语音助手设备，恶意命令的长度必须低于77毫秒(或0.77秒)。

“这不仅仅是软件问题或恶意软件。这是一种使用互联网的硬件攻击。漏洞是麦克风设计的非线性，制造商需要解决这一问题，“陈说。“在我们测试的17款智能设备中，Apple Siri设备需要窃取用户的声音，而其他语音助手设备可以通过使用任何语音或机器人声音来激活。

NUIT可以静音Siri的响应以实现不明显的攻击，因为iPhone的响应量和媒体的音量是分开控制的。随着这些漏洞的识别，Chen和团队正在为消费者提供潜在的防线。意识是最好的防御，UTSA研究人员说。Chen 建议用户对其语音助手进行身份验证，并在单击链接和授予麦克风权限时谨慎行事。

她还建议使用耳机代替扬声器。

“如果你不使用扬声器来广播声音，你就不太可能受到NUIT的攻击。使用入耳式耳机会设置一个限制，即耳机的声音太低而无法传输到麦克风。如果麦克风无法接收到听不见的恶意命令，则底层语音助手就不能被NUIT恶意激活，“陈解释说。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！