新型攻击方法SurferingAttack以超声波入侵手机

发布时间:2020-03-04 11:34:00

  研究人员发现了一种新的攻击方法,可以通过在固体材料中传播超声波来入侵声控设备,从而在受害者不知情的情况下使用他人听不见的声控命令与声控设备连接并进行破坏。

  这种攻击称为“SurferingAttack ”,利用了固体材料(例如桌子)中声音传输的独特性,允许声控设备与攻击者之间进行远距离的多次连接,而无需面对面接触。


  在这种情况下,研究人员在论文中概述了攻击者可以使用语音助手与设备进行交互,劫持SMS两因素身份验证代码,甚至拨打欺诈电话,对感染设备进行秘密控制。

  这项研究是由来自密歇根州立大学,中国科学院、圣路易斯的华盛顿大学和内布拉斯加州林肯大学的一个学者团队发表的。研究结果在2月24日于圣地亚哥举行的网络分布式系统安全研讨会(NDSS)上进行了介绍。

  SurfingAttack如何工作?

  MEMS麦克风是大多数语音助手控制设备中的标准配置,它包含一个小的内置膜片,称为振动膜,当受到声波或光波撞击时,该膜被转换为电信号,然后将其解码为实际命令。

  这种新型的攻击利用 MEMS麦克风电路的非线性特性,通过附在桌子表面的价值5美元的压电换能器来传播恶意超声波信号(人耳听不到的高频声波)。更重要的是,攻击可以在30英尺外进行。

  为了让这种攻击不被发觉,研究人员随后发出了引导超声波,将设备的音量调低,调低到语音响应不明显为止。与此同时,利用潜藏在感染设备桌下的窃听器,研究人员仍然能够记录语音助手发出的语音响应。

  设置完成后,攻击者不仅可以激活语音助手(例如,使用“ OK Google”或“ Hey Siri”作为唤醒词),还可以生成攻击命令(例如,“阅读我的消息”或“使用扬声器打电话给Sam” )、使用文字转语音(TTS)系统,所有这些都以超声波导波信号的形式传输,沿着桌子传播可以控制设备。

  SurfingAttack已在各种使用语音助手的设备上进行了测试,包括Google Pixel、Apple iPhone和Samsung Galaxy S9,以及Xiaomi Mi 8,被发现这些都容易受到超声波攻击。尽管使用了不同的桌面(例如,金属、玻璃、木材),对手机设备进行不同的配置,这种攻击依然可以进行。

  然而,该实验有两个失败案例,即华为Mate 9和三星Galaxy Note 10+,其中前者在安装LineageOS时容易受到攻击。研究人员观察到来自Galaxy Note 10+的超声命令的录制声音非常微弱,研究人员将失败归因于“手机机身的结构和材料”。

  令人欣慰的是,来自亚马逊和谷歌的智能扬声器Amazon Echo和Google Home不会受到这类攻击的影响。

  语音攻击呈上升趋势

  尽管到目前为止还没有迹象表明这种攻击已经出现在野的恶意利用,但已不是第一次发现这种注入攻击。

  事实上,该研究是建立在一连串的研究之上的,比如BackDoor、LipRead和DolphinAttack ,这表明利用麦克风的非线性进行超声波信号传递无声命令以控制设备,是可能实现的。

  此外,东京电子通信大学和密歇根大学的研究人员进行的一项研究发现,去年年底发生了一系列名为“ 光命令 ”的攻击,这些攻击利用激光向智能手机和扬声器注入无声命令,并秘密潜入设备,在电子商务网站上购物,甚至发动车辆。

  这种攻击需要激光束直接对准目标设备,但SurfingAttack独特的传播功能消除了这种要求,潜在的攻击者可以与声控设备进行远程交互并执行未经授权的命令,在受害者不知情的情况下访问并获取敏感信息。

  此次研究提出的这种新的攻击媒介,将要求设备制造商采取新的安全防御措施,并保护设备免受语音攻击,而语音攻击正日益成为所有智能家居的切入点。

  【内容来源于freebuf.com】

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
由于证书过期,Pulse Secure VPN用户无法登录
划重点!《人民法院在线诉讼规则》正在施行中
美国最大的丙烷供应商AmeriGas自曝发生了数据泄露
网络钓鱼在2021年第一季度创新高
Google将在Linux版Chrome上推出DoH支持
企业数字化转型,数据安全是关键!
加州大学遭勒索软件攻击,隐私数据大规模泄漏
错误的证书信任关系,导致3000万台戴尔设备面临重大风险