声控系统恐有安全隐忧 人耳听不到的声音骇客将现身
去年汉堡王曾推出 15 秒的广告,影片短到没有时间告诉消费者汉堡有多好吃,但在广告结束前,主角用一句「O.K. Google,华堡是什么呢?」让家中的 Google Home 搜寻维基百科的资料,替观众介绍汉堡王的汉堡,有创意的行销方式,除了说明智慧音箱的普及,更让人们开始注意到,声控系统有多容易被操控。
根据《Juniper Research》统计数据,美国有一半以上的家庭都拥有智慧音箱,调查公司《Ovum》则预估,拥有数位助理的装置将在 2021 年超过全球人口,两项研究都说明,未来人们会越来越习惯与虚拟助理对话,要求 Alexa、Siri 或是 Google 助理查询气象或是收发电子邮件,然而不只是设备主人可以下达命令,有心人士也可以偷偷用声波操控。
▲借由传递人耳听不到的频率,得以暗中操控设备。(图/翻摄 TechCrunch)
《纽约时报》报导,过去两年,中国与美国的研究人员试着发送隐藏命令给 Alexa、Siri 以及 Google助理。2016 年加利福尼亚大学柏克莱分校与乔治城大学的研究团队,就在 YouTube 影片中夹杂声控命令,让智慧手机开启飞航模式并且进入特定网站。让我们更进一步想像,当智慧音箱遭到操控后,或许可以启动我们的手机,进行购物消费、刷卡,甚至是安装来路不明的手机 App。
这个月柏克莱分校的研究人员进一步发表新的论文,将命令隐藏于音乐或是录音档之中,换言之,该项技术可以让骇客趁用户收听 Spotify 或是脱口秀节目的同时,入侵手机执行操作指令。研究人员 Nicholas Carlini 表示,目前该项技术尚未流传到市面上,但全新的声音骇客攻击出现,只是时间早晚的问题。
研究人员利用机器与人类对于声音判别的差距,将单独的声音重新编码成为特定字母,并且组织成完整的单字与句子,只需要借由微幅修改声音档,音乐与节目内容不会有所变更,就能置入声音骇客的攻击效果,人耳几乎无法分辨。
亚马逊对此回应,已经开始确保 Echo 的安全措施,Google 则是会让助理避免接受未知的命令。两者都试着让助理识别用户的声音,苹果则从安全系统下手,官方表示 HomePod 不会设计可以进入后台的声控功能,如果真的要进行必要操作,必须先解锁 iPhone 与 iPad。
类似的研究已经层出不穷,普林斯顿大学与浙江大学就透过实验证明,借由人耳听不到的频率启动声控系统,率先让手机进入静音模式,就可以让一切攻击暗中进行,这项技术被称为 DolphinAttack,将会导航手机进入病毒网站,或是拨打电话、发送照片与讯息,伊利诺大学也有类似的研究项目。
制造商们将如何在不减智慧音箱方便性的前提下,保护手机与装置的资料安全?或许是接下来五年值得关注的议题,别以为看不见、听不见骇客就无法攻击,任何存放于手机、网路上的重要资料,都必须谨慎看待。