这是一个非常狡猾的漏洞,因为黑客可以指挥你的手持设备站在你旁边。你永远不会注意到,因为语音指令在超声波中“低语”,其频率超过了人类可听范围(20Hz到20kHz)。
虽然我们听不到这种蚊子的叫声,但软件的语音指令软件完全有能力选择它解码的超声波频率作为设备的指令。
浙江研究人员指出,这种被恰当地称为“海豚攻击”的漏洞可以用来向苹果、谷歌、亚马逊、微软、三星和华为等地的流行设备发送指令。他们使用普通智能手机传输攻击,使用3 - woth额外的硬件——麦克风和放大器。
Mark Wilson为Fast Company撰写文章,描述了接下来发生的事情:
研究人员不仅激活了诸如“嗨,Siri”或者“好的谷歌”这样的基本命令。他们还可以告诉iPhone“拨打1234567890”,或者告诉iPad以FaceTime的数字。他们可以强迫一台Macbook或Nexus 7打开一个恶意网站。他们可以命令亚马逊Echo“打开后门”。“即使是奥迪Q3也可以让它的导航系统重定向到一个新的位置。”
“【听不清】语音指令质疑了通常的设计假设,即对手可能最多试图操纵一个(语音助手)声音,并能被一个警告用户检测出来,”研究小组在一篇刚刚接受ACM计算机与通信安全会议的论文中写道。
不得不说,这台发射机只能用几英寸的距离才能工作,不过,像苹果手表这样的其他设备在几英尺内就很脆弱。即便如此,黑客还是需要站在人群或公共交通工具的旁边,让它打开恶意软件。
在这一点上,一些读者可能会想,为什么制造商不能简单地坚持听范围。问题在于,由于过滤算法在人类听觉范围之外使用谐波含量,因此牺牲性能和用户体验的成本将会出现。此外,制造商使用不同的麦克风,其中大部分是设计用来制造电力的压力波。这意味着从硬件上阻止超声波是不可能的。
这一切都取决于谷歌,亚马逊,苹果,以及他们决定如何解决这个漏洞。
与此同时,你能做的最好的事情就是让你的设备安全,关掉“随时”的监听,这通常是默认打开的。否则,即使设备被锁定,黑客也可以通过海豚攻击发送命令。