聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身

記者黃肇祥/綜合報導

去年漢堡王曾推出 15 秒的廣告影片短到沒有時間告訴消費者漢堡有多好吃,但在廣告結束前,主角用一句「O.K. Google,華堡是什麼呢?」讓家中的 Google Home 搜尋維基百科資料,替觀衆介紹漢堡王的漢堡,有創意的行銷方式,除了說明智慧音箱普及,更讓人們開始注意到,聲控系統有多容易被操控。

根據《Juniper Research》統計數據美國有一半以上的家庭都擁有智慧音箱,調查公司《Ovum》則預估,擁有數位助理裝置將在 2021 年超過全球人口,兩項研究都說明,未來人們會越來越習慣與虛擬助理對話,要求 Alexa、Siri 或是 Google 助理查詢氣象或是收發電子郵件,然而不只是設備主人可以下達命令,有心人士也可以偷偷用聲波操控。

▲藉由傳遞人耳聽不到的頻率,得以暗中操控設備。(圖/翻攝 TechCrunch)

紐約時報》報導,過去兩年,中國與美國的研究人員試着發送隱藏命令給 Alexa、Siri 以及 Google助理。2016 年加利福尼亞大學柏克萊分校喬治城大學的研究團隊,就在 YouTube 影片中夾雜聲控命令,讓智慧手機開啓飛航模式並且進入特定網站。讓我們更進一步想像,當智慧音箱遭到操控後,或許可以啓動我們的手機,進行購物消費、刷卡,甚至是安裝來路不明的手機 App。

這個月柏克萊分校的研究人員進一步發表新的論文,將命令隱藏於音樂或是錄音檔之中,換言之,該項技術可以讓駭客用戶收聽 Spotify 或是脫口秀節目的同時,入侵手機執行操作指令。研究人員 Nicholas Carlini 表示,目前該項技術尚未流傳市面上,但全新的聲音駭客攻擊出現,只是時間早晚的問題。

▲智慧助理是未來的趨勢。(圖/達志影像美聯社

研究人員利用機器人類對於聲音判別的差距,將單獨的聲音重新編碼成爲特定字母,並且組織成完整的單字句子,只需要藉由微幅修改聲音檔,音樂與節目內容不會有所變更,就能置入聲音駭客的攻擊效果,人耳幾乎無法分辨。

亞馬遜對此迴應,已經開始確保 Echo 的安全措施,Google 則是會讓助理避免接受未知的命令。兩者都試着讓助理識別用戶的聲音,蘋果則從安全系統下手,官方表示 HomePod 不會設計可以進入後臺的聲控功能,如果真的要進行必要操作,必須先解鎖 iPhone 與 iPad。

類似的研究已經層出不窮,普林斯頓大學浙江大學就透過實驗證明,藉由人耳聽不到的頻率啓動聲控系統,率先讓手機進入靜音模式,就可以讓一切攻擊暗中進行,這項技術被稱爲 DolphinAttack,將會導航手機進入病毒網站,或是撥打電話、發送照片訊息伊利諾大學也有類似的研究項目。

製造商們將如何在不減智慧音箱方便性前提下,保護手機與裝置的資料安全?或許是接下來五年值得關注的議題別以爲看不見、聽不見駭客就無法攻擊,任何存放於手機、網路上的重要資料,都必須謹慎看待。