Google助手 Siri Alexa和其他数字助手有一个危险的漏洞
我们知道Amazon,Google和Apple分别抄录了Alexa,Google Assistant和Siri的请求和询问。两家公司表示,这样做是为了改善这些基于AI的助手。如果您认为这是手机,平板电脑或扬声器上的虚拟数字助理将面临的唯一隐私问题,请再试一次。昨天发表的论文讨论了虚拟助理使用激光攻击可以用,不能听到或看到的命令“注入”他们。该攻击的名称为“ Light Commands”,是在扬声器,电话和平板电脑上使用的小型高质量MEMS(微机电系统)麦克风上发现的一个漏洞。这种破解之所以起作用,是因为可以操纵激光来欺骗设备内的麦克风,使其相信它正在接收音频命令。换句话说,坏演员实质上是在劫持语音助手。
关于这种攻击,最可怕的事情可能是可以通过玻璃完成,并且可以从另一栋距离360英尺的建筑物中完成。必须有一条视线才能进行攻击,并且激光束必须撞击麦克风的特定部分。但是,一旦此攻击成功,它便可能使黑客能够控制智能家电和智能车库门,进行在线购买,从远处解锁并启动某些车辆,以及通过使用蛮力方法来发现PIN码来打开智能锁。 。蛮力攻击使黑客可以使用每种可能的组合进行大量尝试,以发现设备上使用的PIN码。
Light Commands攻击可能导致未经授权的在线购买”
组装一个Light Commands系统并不昂贵。它所需要的只是一个激光指示器,一个激光驱动器和一个声音放大器。远摄镜头可用于远距离攻击。总的来说,这样的设置成本可能不到581美元,而其中的大多数物品都可以从亚马逊购买。
该报告列出了几种容易受到Light Commands攻击的设备,并指出:“尽管我们不声称我们的受测设备列表是详尽无遗的,但我们确实认为它确实提供了一些流行的语音识别系统对Light Commands的脆弱性的直觉。 ”。列出的设备包括:
Google主页(Google助手)
Google Home mini(Google助手)
Google NEST Cam IQ(Google助手)
Echo Plus第一代(Alexa)
Echo Plus第二代(Alexa)
回音亚马逊(Alexa)
回音点第二代(Alexa)
回音点第三代(Alexa)
回声秀5(Alexa)
回声点(Alexa)
Facebook Portal Mini(Alexa)
火立方电视(Alexa)
EchoBee 4(Alexa)
iPhone XR(Siri)
iPad第6代(Siri)
三星Galaxy S9(Google助手)
GooglePixel 2(Google助手)
该报告指出,智能扬声器通常默认情况下禁用扬声器识别,但在手机和平板电脑上默认情况下启用扬声器识别。但是此安全系统仅使用识别系统来确定设备的所有者是否说了助手的热词(“ Ok,Google”,“ Hey Siri”,“ Alexa”)。一个助手被激活后,Light Commands可以发出虚假请求。正如报告指出的那样,“说话者对唤醒单词的识别能力通常很弱,有时攻击者可以使用在线文本到语音合成工具来模仿所有者的声音,从而绕过说话者。”
尽管那些拥有受到“光命令”攻击的设备的人不会听到任何警报,提醒他们正在发生可疑事件,但用户可能能够检测到从目标设备反射回来的激光发出的光。尽管该报告确实指出了可以利用此漏洞的方式,但它确实指出,没有迹象表明这种攻击是在野外使用的。只是要确保,确保您的智能扬声器没有放在窗户附近,这可能是个好主意,窗户不会使攻击者拥有发起此类攻击所需的清晰视线。