安全研究人員已經(jīng)使用便宜的組件和一些科學(xué)智能工具,使用“靜音”超聲波來(lái)入侵智能手機。你應該擔心嗎?
三星通過(guò)向Galaxy S20引入獨立的“安全元件”芯片,使iPhone和Pixel像其他產(chǎn)品一樣加入進(jìn)來(lái),為敏感的智能手機數據存儲方帶來(lái)了先進(jìn)的硬件級保護。但是,它也加入了蘋(píng)果和谷歌,成為智能手機制造商的一員,受到一些相當先進(jìn)的黑客技術(shù)的攻擊。學(xué)術(shù)安全研究人員發(fā)表了一篇論文并提供了輔助視頻,展示了如何用純人類(lèi)聽(tīng)不到的命令控制智能手機語(yǔ)音助手。隱藏的漏洞通常對攻擊者來(lái)說(shuō)是最有價(jià)值的,但這并不一定意味著(zhù)您需要對這種利用方法感到擔憂(yōu)。
哪些智能手機型號容易受到SurfingAttack方法的影響?
來(lái)自密歇根州立大學(xué),內布拉斯加林肯大學(xué),圣路易斯華盛頓大學(xué)和中國科學(xué)院的研究人員在他們的論文《SurferingAttack:使用超聲波導波對語(yǔ)音助手進(jìn)行交互式隱藏式攻擊》中演示了如何使用智能手機語(yǔ)音控制系統會(huì )受到超聲波對固體物體的攻擊。研究人員將注意力集中在A(yíng)pple的Siri,Google Assistant和三星的Bixby上,涵蓋了來(lái)自Apple,Google,華為,摩托羅拉,三星和小米等制造商的總共17種不同的智能手機型號。他們說(shuō),他們能夠成功地使設備解鎖,然后讀出SMS兩因素密碼,撥打電話(huà)并拍照。研究人員已經(jīng)發(fā)表使用不同的攻擊場(chǎng)景在不同手機上成功攻擊的視頻。
研究人員表示,盡管像Amazon Echo和Google Nest Home設備這樣的智能揚聲器并不容易受到這種攻擊方法的攻擊,但以下智能手機卻是:
蘋(píng)果iPhone 5、5s 6 +,X
Google Pixel,Pixel 2,Pixel 3
華為榮耀10
摩托羅拉G5,Z4
三星Galaxy S7,S9
小米Mi 5,Mi 8,Mi 8 Lite
SurfingAttack威脅,那又如何工作?
這種攻擊通過(guò)利用大多數智能手機中使用的微機電系統(MEMS)麥克風(fēng)技術(shù)來(lái)發(fā)揮作用。MEMS麥克風(fēng)在隔膜板上使用聲傳感器,將聲波轉換成電信號。正是該信號在解碼時(shí)成為了有問(wèn)題的命令。使用非常便宜的5美元(3.90英鎊)壓電換能器,研究人員發(fā)現它們可以發(fā)射人耳無(wú)法聽(tīng)到但可以被智能手機中的MEMS麥克風(fēng)拾取的超聲波信號。換能器安裝在木頭或玻璃桌子的下側,只要目標智能手機足夠靠近,它就會(huì )受到攻擊。多近?好吧,這是這里的緩解因素之一:研究人員在MDF桌子上達到了18英寸(50厘米)的極限。
我應該擔心成為SurfingAttack攻擊的受害者嗎?
談到緩解情況,需要將智能手機的音量調低,以使附近的用戶(hù)聽(tīng)不到通信響應,但聲音足夠大以至于無(wú)法錄制。嗯,是的,它被一個(gè)隱藏的麥克風(fēng)錄制得足夠近,可以聽(tīng)到低音量的輸出。攻擊者還需要足夠接近才能看到任何文本輸出,或者擁有適當的設備將其記錄為視頻,從而再次減輕了這里的現實(shí)風(fēng)險。Cyjax CISO的Ian Thornton-Trump認為,問(wèn)題在于,“不可能似乎正在朝著(zhù)不可能的方向發(fā)展”。他說(shuō),這種類(lèi)型的研究表明“技術(shù)的迅速發(fā)展如何開(kāi)辟了新的探索途徑,并且其中的某些探索結果導致了人們從未夢(mèng)想過(guò)的“科幻”功能的開(kāi)發(fā)。
如果前面提到的所有緩解因素都不能使您放心,就現實(shí)世界而言,現在沒(méi)有太多可看的東西了,研究人員建議,防范SurfingAttack威脅的用戶(hù)應減少“接觸表面積”將手機放在桌面上,將其放在柔軟的機織織物上,或使用由“罕見(jiàn)材料”制成的厚保護殼,例如木頭。
我已與Apple,Google和Samsung聯(lián)系以征求意見(jiàn),并在獲得陳述后將其更新為本文。