2019年11月4日星期一

一根激光笔就能控制你的智能音箱,这是怎么回事?

近两年苹果、华为和小米等厂商都加快了布局物联网的节奏,将此作为未来的战略重点,家中越来越多的设备都可以通过语音控制,智能家居在带给我们便利的同时,更多隐患也开始浮出水面。

最近密歇根大学的研究人员做了一项实验,发现入侵由语音助手控制的设备比想象中容易,只要一根十几美元的激光笔,你的语音助手就会对别人言听计从。

研究人员将低功率激光照射到不同设备的麦克风中,由于这些语音控制系统往往不需要对用户进行身份验证,因此可以直接向语音助手发送特定的命令,即便部分系统要求某些操作进行身份验证,但通常也不会限制输入次数,可以暴力破解 PIN 码。

当研究人员获得了语音助手的控制权,就相当于能控制所有连接语音助手的设备,真的可以为所欲为了。

由于一般的智能家居都能通过语音激活,被控制后就可怕了。最简单的例子,不法分子可以轻易打开你的家门,研究人员在实验中就成功通过激光控制了智能音箱进而打开了车库大门,如果车辆的车锁也绑定在手机上,甚至可以在不知不觉间把车开走。

现在主流的智能手机基本配备了语音助手,这意味着手机也能被这种方式入侵,比如在用户不知情的情况下在网上购物。

问题来了,语音助手不是要识别用户的语音命令之后才能运行吗?为什么可以通过激光控制?

据研究人员介绍,这是利用了微电机(MEMS)麦克风的漏洞,麦克风可以将声音转换为电信号向系统发出指令,但除了声音,这种麦克风同样会对激光作出反应,能通过激光强度来让麦克风产生电信号,就像接受语音指令一样作出反馈。

其实微电机(MEMS)技术在光学领域的应用已经不新鲜。自动驾驶所用的激光雷达其中就有一种是基于微电机(MEMS),通过一个小型反射镜就能引导固定的激光束射向不同方向。此外一些激光投影设备也是通过 MEMS 驱动电路实时接收激光模组的反馈信号。

▲ 图片来自:NextBigFuture.com

但很少人想到这会成为微电机麦克风设备一个能被轻易入侵漏洞,研究人员在一个网页中介绍了自己的操作方案,所需的设备也很简单,一个激光笔、激光驱动器、便携式耳机放大器和高倍望远镜,总价不过数百美元。

当然这种攻击也有不少限制,在研究人员的实验中,发射激光最远的有效距离为 110 米,而且要瞄准设备的麦克风端口才能成功,这也是为什么要用望远镜来确认激光照射的部位。

在一次测试中,研究人员将一台 Google Home 智能音箱放在了 4 楼的窗户边上,并从 70 米外一座塔楼高处向音箱发射激光,成功让 Google Home 执行了来自远处发出的指令。

根据报告,Siri,Alexa 和 Google Assistant 这些主流的语音助手最容易被破解。同时研究人员还列出了经过测试能够被入侵的设备,除了 Google Home 和 Echo 等智能音箱,iPhone XR、Galaxy S9、Pixel 2 和 iPad(第 6 代)等设备同样会受到影响。

同时研究人员也表示,目前还没发现有人采用这种方式进行攻击,但这确实是一个不可忽视的问题,研究人员也给出了一些解决方案。

对于用户来说,可以增加更多层级的身份验证,比如让系统执行命令前向用户询问一个简单随机的问题,虽然这让操作更加繁琐,但却可以有效防止攻击。

厂商则可以采用传感器融合技术,通过多个麦克风来识别音频,这样攻击者采用激光攻击一个麦克风时其他麦克风也不会接收到信号。另一种更直接的方法是通过物理屏障阻隔光线,不过攻击者也可能提高激光功率,烧掉遮光部位。

根据调研公司 BI Intelligence 的预测,到了 2020 年,全世界的联网设备量可能会达到 340 亿,平均每一个人将配有 4 个联网设备。在万物互联的未来到来之前,安全防护的技术必须先跟上,否则物联网会让智能设备的风险成倍增加。

题图来自:,部分配图来自:Light Commands

#欢迎关注爱范儿官方微信公众号:爱范儿(微信号:ifanr),更多精彩内容第一时间为您奉上。

爱范儿 | 原文链接 · 查看评论 · 新浪微博




from 爱范儿 https://ift.tt/2NjbkHr
via IFTTT

没有评论:

发表评论