智能语音助手依靠消费者的语音与分配的用户进行交互
如果您在家中正在使用Apple,Amazon和Google等顶级技术公司的流行语音协助产品之一,那么此新闻对您来说是合适的。来自东京电子通信大学和密歇根大学的一组学术研究人员成功地证明,攻击者可以使用激光远程将听不见和看不见的命令注入到语音助手中,例如Google Assistant,Amazon Alexa,Facebook Portal和Apple Siri。 。这项代号为LightCommands的创新技术有望将恶意命令注入包括智能扬声器,平板电脑和电话在内的多种语音操纵设备中。
研究人员在本周早些时候公布的演示视频显示,这些命令可以远距离发送到目标设备,甚至可以通过玻璃窗发送到上锁的房间。研究人员声称,利用这些流行设备中的常见漏洞,攻击者可以远程发送听不见且可能不可见的命令,然后由这些设备执行操作。一旦攻击者获得了语音辅助系统的访问权限,他们便可以使用此漏洞攻击其他系统。根据研究人员的说法,攻击者可以使用此漏洞来对您的在线购买,智能家居开关,智能车库门,某些车辆和智能锁进行未经授权的操纵。
这个怎么运作
研究人员Takeshi Sugawara,Benjamin Cyr,Sara Rampazzi,Daniel Genkin和Kevin Fu发表的联合研究报告解释了该漏洞,他们声称,除了音频之外,这些设备中的麦克风还对直接对准它们的光线产生反应。智能语音助手依靠消费者的语音与分配的用户进行交互。“ LightCommands”设置使用发光的激光接近麦克风并有效劫持语音助手,并将无法听见的命令发送到Alexa,Siri,Portal或Google Assistant设备。基于此原理,研究人员能够通过调制光束强度的电信号,诱使麦克风产生电信号,就像它们正在接收真正的音频一样。
它要多少钱?
该装置包括市售产品,例如远摄镜头,激光驱动器,望远镜或双筒望远镜以及其他在公开市场上容易获得的设备。研究人员估量,启动和运行Light Commands所需的所有必要设备的购置成本不到600美元。
如果不对这些设备使用的麦克风进行重新设计,就无法解决基本漏洞。然而,研究人员已与流行的创造商Google,Amazon和Apple取得联系,以找到解决该问题的可能方法。