安全研究人员发现了一种使用超声波秘密劫持Siri和其他智能手机数字助理的方法,超声波是人类通常无法听到的声音。
这种攻击是人耳听不见的,可用于在用户不知情的情况下阅读消息,拨打欺诈性电话或拍照。
该漏洞被称为SurfingAttack,利用高频,听不见的声波来激活设备的数字助理并与之交互。尽管过去出现了类似的攻击,但是SurfingAttack专注于通过固体材料(如桌子)传输所述波。
研究人员发现,他们可以使用一个5美元的压电换能器,该换能器附在桌子的下面,可以在用户不知情的情况下发送这些超声波并激活语音助手。
使用这些听不见的超声波,该团队能够唤醒语音助手并发出命令以拨打电话,拍照或阅读包含两步验证密码的消息。
为了进一步掩盖攻击,研究人员首先发出了听不见的命令来降低设备的音量,然后使用隐藏在桌子下方的另一台设备记录响应。
SurfingAttack在总共17种设备上进行了测试,发现对大多数设备都有效。某些Apple iPhone,Google Pixels和Samsung Galaxy设备容易受到攻击,尽管研究并未指出已测试了哪些特定的iPhone机型。
所有数字助理,包括Siri,Google Assistant和Bixby,都容易受到攻击。
尽管研究人员将其归因于其材料的不同音质,但只有华为Mate 9和三星Galaxy Note 10+不受攻击。他们还指出,这种攻击在用桌布覆盖的桌子上使用时效果不佳。
该技术依赖于利用设备MEMS麦克风的非线性,该麦克风在大多数语音控制设备中使用,并且包括一个小的隔膜,可以将声波或光波转换为可用的命令。
研究小组发现,在对智能手机有效的同时,SurferingAttack无法在Amazon Echo或Google Home设备等智能扬声器上运行。主要风险似乎是秘密设备,它们预先隐藏在咖啡厅桌子,办公桌和其他类似表面之下。
这项研究是由来自圣路易斯华盛顿大学,密歇根州立大学,科学院和内布拉斯加州林肯大学的跨国研究人员团队发表的。它于2月24日在圣地亚哥的网络分布式系统安全研讨会上首次提出。
SurfingAttack远非第一次使用无法听见的声波来利用漏洞。该研究搭载在以前的几个研究项目中,包括类似名称的DolphinAttack。