小心你的手機可能「正在被攻擊」!美國研究團隊近日揭發一種利用裝置麥克風或語音助理 漏洞,對智慧型手機或智能音箱等設備發動「無聲攻擊」的新型態攻擊。
根據科技媒體《Bleepingcomputer》報導,由德州大學聖安東尼奧分校(UTSA)教授Guenevere Chen、博士生Qi Xia及科羅拉多大學(UCCS)教授Shouhuai Xu組成的研究團隊發表一項研究成果,一款名為「近超聲波無聲特洛伊木馬(中文暫譯;原文為 Near-Ultrasound Inaudible Trojan,簡稱NUIT)」的新型態攻擊,攻擊對象包含各大智能語音助理,如蘋果(Apple)Siri、Google助理、微軟Cortana和亞馬遜Alexa 等。
NUIT可以整合到播放媒體或YouTube 影音網站中,在用戶播放觀賞「被動過手腳的媒體資源」過程中,NUIT即可對智能設備發送人耳無法感應的近超聲波,藉此達到「無聲攻擊」的惡意指令(如從遠端操控智慧鎖);Guenevere Chen解釋雖然發動NUIT需要一定以上的音量才能成功,但發送惡意指令只需要0.77秒即可完成。
該團隊示範2種NUIT無聲攻擊方式,第一種是透過播放NUIT直接攻擊智能設備,使該設備執行惡意指令(如發送冒名訊息、打開智慧門鎖或關閉家用警報器等),第二種是利用智慧音箱 向用戶的另一具有麥克風的電子設備發送NUIT攻擊;NUIT更可能出現在視訊會議中,若有心人士在會議中惡意發動NUIT攻擊,趁機破解與會人士放在電腦旁的手機。
研究人員測試17款市面上流行的語音助理設備,僅蘋果Siri需模擬用戶人聲才能被破解並接受惡意指令,其餘使用任何語音(甚至機器人生成的語音)皆可輕易發送攻擊。研究人員建議用戶可以檢查電子設備的麥克風設置是否開啟或使用「耳機」來防範遭NUIT無聲攻擊突襲。
以下演示第一種攻擊方式:播放NUIT直接攻擊智能設備,在用戶不知情情況下使設備執行「開啟門鎖」的惡意命令。
