无障碍说明
腾讯科技科技 > 要闻 > 移动互联 > 正文

黑客可在5米外控制Siri和Google Now

腾讯科技[微博]谭燃2015年10月15日20:15

[摘要]黑客可让手机拨打付费电话,浏览恶意网站或发送垃圾信息。

黑客可在5米外控制Siri和Google Now

腾讯科技讯 10月15日,国外媒体报道,安全研究人员日前发现一种新的智能手机攻击方法。黑客可利用无线电在5米左右的范围内对语音助手Siri和GoogleNow发动攻击,让手机拨打付费电话,浏览恶意网站或发送垃圾信息。

Siri可能是你的私人助理,但它不止听你同一个人的。法国研究人员日前发现,黑客也可以对Siri发号施令。在某些情况下,黑客甚至可以在16英尺(约5米)之外通过无线电向Siri发送命令。

法国信息系统安全局(ANSSI)两名安全研究人员乔瑟·鲁普斯·爱思特威斯(José Lopes Esteves)和查欧基·卡斯米(Chaouki Kasmi)称,只要用户在手机上插入了耳麦,他们就可以利用无线电波悄悄地激活任何一部Android手机上的GoogleNow或iPhone手中上的Siri。

这两名研究人员利用耳麦线作为天线,将电磁波转化成电信号,让手机操作系统误以为是来自用户麦克风的语音指令。这样,在黑客没有说一句话的情况下,即可通过无线电命令对Siri或GoogleNow发动攻击。

黑客可以让这两款语音助手拨打电话,发送短信。还可以让Siri或GoogleNow拨打黑客的号码,将手机变身为窃听设备;也可以浏览恶意网站,或通过电子邮件、Facebook或Twitter发送垃圾信息。

两名安全研究人员爱思特威斯和卡斯米在报告中称:“这种攻击方式将带来严重安全隐患。”而ANSSI主管文森特·斯图拜尔(Vincent Strubel)称:“这种攻击方式几乎毫无限制。你可以通过语音接口做任何事情,而且还是远程的。”

这种攻击方式所需设备也相对简单:一台运行开源软件GNURadio的笔记本(用于生成电磁波)、一个USRP软件无线电、一台放大器和一根天线。研究人员称,所有这些设备甚至可以放进一个背包中,这样的设备可以对6.5英尺(约2米)范围内的手机发起攻击。如果使用功能相对强大的设备,就需要把它们放进汽车里,可以对16英尺之外的手机发动攻击。

两位研究人员还通过视频演示了他们的攻击方法:在演示中,安全研究人员通过无线电对控制了一部Android智能手机上的Google Now,让这部手机浏览了ANSSI网站。

当然,这种攻击方式也存在一定的局限性。例如,只能攻击已插入具有麦克风功能的耳机的智能手机;此外,许多Android手机并未在锁屏状态下启用GoogleNow,或只能在识别出用户的语音时才作出响应。

相比之下,Siri在锁屏状态下默认是启用的,而且没有语音识别功能。另外,用户也可能会在屏幕上注意到异常情况,即发现手机在接收神秘语音命令,从而及时取消正在执行的任务。

虽然具有局限性,研究人员还是表示,黑客可以将他们的无线电设备藏在背包中,然后在人群密集地区对周围所有手机发动攻击,相信会有大量用户成为受害者。斯图拜尔称:“可以想象一下,黑客在酒吧或机场发起攻击。通过发送电磁波让周围的手机拨打付费电话,从而给用户带来高额话费。”

研究人员还称,这种攻击方法不仅支持最新版iOS,也支持旧版iOS。iPhone耳机线上有一个按钮,用户长按就可以启动Siri。通过逆工程(reverseengineering)和欺骗该按钮的电信号,黑客可以通过无线电在锁屏情况下激活Siri,而无须用户的任何干预。研究人员卡斯米称:“这不是让iPhone变得脆弱,而是让攻击变得没那么复杂。”

当然,对于安全意识较强的智能手机用户,他们可能已经意识到,在锁屏状态下启用Siri或Google Now是一种风险。但是,这种最新的无线电攻击方式让黑客的入侵变得更隐蔽,从而有助于让用户进一步意识到在锁屏状态下禁用语音命令功能的重要性。

ANSSI研究人员表示,对此他们已经与苹果谷歌(微博)取得了联系,并给出了一些安全建议。例如,对耳机线做一些适当的屏蔽就会迫使黑客使用更强的无线电信号。另外,还可以利用软件阻止黑客的攻击。例如,设置特定语音才能激活Siri或GoogleNow。

卡斯米和爱思特威斯称,没有安全功能的防护,任何一部智能手机的语音功能都可能是一种安全威胁。斯图拜尔说:“要是使用手机键盘,你需要输入一个PIN密码。但语音接口是随时待命的,且无需验证。这就是我们撰写这份报告的目的:指出当前安全模式下的一些不足。”(谭燃)

黑客可在5米外控制Siri和Google Now

[责任编辑:jimmonzang]
您认为这篇文章与"新一网(08008.HK)"相关度高吗?
标签
黑客
Siri

阅读更多