聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身
去年漢堡王曾推出 15 秒的廣告,影片短到沒有時間告訴消費者漢堡有多好吃,但在廣告結束前,主角用一句「O.K. Google,華堡是什麼呢?」讓家中的 Google Home 搜尋維基百科的資料,替觀衆介紹漢堡王的漢堡,有創意的行銷方式,除了說明智慧音箱的普及,更讓人們開始注意到,聲控系統有多容易被操控。
根據《Juniper Research》統計數據,美國有一半以上的家庭都擁有智慧音箱,調查公司《Ovum》則預估,擁有數位助理的裝置將在 2021 年超過全球人口,兩項研究都說明,未來人們會越來越習慣與虛擬助理對話,要求 Alexa、Siri 或是 Google 助理查詢氣象或是收發電子郵件,然而不只是設備主人可以下達命令,有心人士也可以偷偷用聲波操控。
▲藉由傳遞人耳聽不到的頻率,得以暗中操控設備。(圖/翻攝 TechCrunch)
《紐約時報》報導,過去兩年,中國與美國的研究人員試着發送隱藏命令給 Alexa、Siri 以及 Google助理。2016 年加利福尼亞大學柏克萊分校與喬治城大學的研究團隊,就在 YouTube 影片中夾雜聲控命令,讓智慧手機開啓飛航模式並且進入特定網站。讓我們更進一步想像,當智慧音箱遭到操控後,或許可以啓動我們的手機,進行購物消費、刷卡,甚至是安裝來路不明的手機 App。
這個月柏克萊分校的研究人員進一步發表新的論文,將命令隱藏於音樂或是錄音檔之中,換言之,該項技術可以讓駭客趁用戶收聽 Spotify 或是脫口秀節目的同時,入侵手機執行操作指令。研究人員 Nicholas Carlini 表示,目前該項技術尚未流傳到市面上,但全新的聲音駭客攻擊出現,只是時間早晚的問題。
研究人員利用機器與人類對於聲音判別的差距,將單獨的聲音重新編碼成爲特定字母,並且組織成完整的單字與句子,只需要藉由微幅修改聲音檔,音樂與節目內容不會有所變更,就能置入聲音駭客的攻擊效果,人耳幾乎無法分辨。
亞馬遜對此迴應,已經開始確保 Echo 的安全措施,Google 則是會讓助理避免接受未知的命令。兩者都試着讓助理識別用戶的聲音,蘋果則從安全系統下手,官方表示 HomePod 不會設計可以進入後臺的聲控功能,如果真的要進行必要操作,必須先解鎖 iPhone 與 iPad。
類似的研究已經層出不窮,普林斯頓大學與浙江大學就透過實驗證明,藉由人耳聽不到的頻率啓動聲控系統,率先讓手機進入靜音模式,就可以讓一切攻擊暗中進行,這項技術被稱爲 DolphinAttack,將會導航手機進入病毒網站,或是撥打電話、發送照片與訊息,伊利諾大學也有類似的研究項目。
製造商們將如何在不減智慧音箱方便性的前提下,保護手機與裝置的資料安全?或許是接下來五年值得關注的議題,別以爲看不見、聽不見駭客就無法攻擊,任何存放於手機、網路上的重要資料,都必須謹慎看待。