分类
圣路易斯华盛顿大学新闻

‘冲浪攻击’黑客用超声波攻击Siri,谷歌

超声波不会发出声音,但它仍然可以激活你手机上的Siri,让它打电话、拍照或向陌生人朗读文本内容。这些都是手机用户不知道的。

对手机的攻击并不是什么新鲜事,研究人员之前已经证明,超声波可以通过空气传递一个单一的命令。

然而,圣路易斯华盛顿大学的一项新研究将超声波对手机安全的影响范围扩大到了手机。研究人员发现,这些波可以通过许多固体表面传播,从而激活语音识别系统,并且——加上一些廉价的硬件——发起攻击的人也可以听到手机的响应。

研究结果于2月24日在圣地亚哥举行的网络和分布式系统安全研讨会上公布。

麦凯维工程学院(McKelvey School of engineering)计算机科学与工程助理教授张宁(Ning Zhang)表示:“我们希望提高人们对这种威胁的认识。”“我希望公众都知道这一点。”

张和他的合著者们能够向手机发送“声音”指令,因为他们坐在桌子上,离手机主人很近,不显眼。加上一个隐蔽放置的麦克风,研究人员能够与手机进行来回交流,最终在远处控制它。

超声波是一种频率高于人类所能听到的声波。然而,手机麦克风可以而且确实记录这些更高的频率。“如果你知道如何处理这些信号,你就可以操纵它们,这样当手机解读传入的声波时,它就会认为你在发出命令,”张说。

为了测试超声波通过固体表面传递这些“指令”的能力,研究团队进行了一系列实验,其中包括在桌子上放置一个手机。

桌子的底部有一个麦克风和一个压电换能器(PZT),用来将电流转换成超声波。桌子的另一边是一个波形发生器,用来产生正确的信号。

该团队进行了两项测试,一项是获取短信密码,另一项是拨打欺诈性电话。第一个测试依赖于常用的虚拟助理命令“读取我的消息”,以及使用双因素身份验证,在双因素身份验证中,密码被发送到用户的手机(例如,从银行),以验证用户的身份。

攻击者首先告诉虚拟助理将音量调低到3级。在这个音量下,受害者没有注意到他们的手机在一个中等噪音水平的办公环境中的反应。

然后,当来自银行的模拟消息到达时,攻击设备向手机发送“读取我的消息”命令。桌子底下的麦克风听到了回应,但受害者听不到。

在第二次测试中,攻击设备发送消息“用免提呼叫山姆”,开始呼叫。利用桌下的麦克风,攻击者得以与“Sam.”进行对话

该团队测试了17种不同的手机型号,包括流行的iphone、Galaxy和Moto。除两名外,其余均易受超声波攻击。

超声波穿透了金属、玻璃和木头

他们还测试了不同的桌面和手机配置。

“我们是在金属上做的。我们是在玻璃上做的。我们是在木头上做的。”他们试着把手机放在不同的位置,改变麦克风的方向。他们把东西放在桌子上,试图减弱海浪的强度。“它仍然有效,”他说。甚至在30英尺的距离。

超声波攻击对塑料桌子也有效,但不那么可靠。

手机套只对攻击成功率有轻微影响。把水放在桌子上,可能会吸收海浪,但没有效果。此外,一个攻击波可以同时影响多个手机。

研究团队还包括来自密歇根州立大学内布拉斯加大学林肯分校和中国科学院的研究人员。

张说,it’s在论文中所称的“冲浪攻击”的成功,突出了人们较少讨论的网络和物理之间的联系。媒体经常报道我们的电子设备如何影响我们生活的世界:我们的手机正在毁坏我们的视力吗?耳机或耳塞会损害我们的耳朵吗?如果自动驾驶汽车引发事故,谁该负责?

“我觉得我们的计算系统的物理学没有得到足够的重视,”他说。“这将是理解这两个世界之间传播的攻击的关键之一。”

该小组提出了一些防御机制,可以防止这种攻击。张说,其中一个想法是开发手机软件,分析接收到的信号,区分超声波和真实的人声。改变手机的布局,比如麦克风的放置,来减弱或抑制超声波也可以阻止冲浪攻击。

但张表示,有一种简单的方法可以让手机免受超声波的伤害:基于夹层的防御,它使用柔软的织物来增加“的阻抗不匹配

换句话说,把手机放在桌布上。


圣路易斯华盛顿大学(Washington University)麦凯维工程学院(McKelvey School of Engineering)提倡独立调查和教育,强调科学的卓越性、创新和无国界合作。麦凯维工程学院拥有一流的跨院系研究和研究生项目,尤其是在生物医学工程、环境工程和计算机领域,并且拥有全国最优秀的本科生项目之一。我们拥有140名全职教师、1387名本科生、1448名研究生和21000名在世校友,我们正在努力解决一些社会上最大的挑战;培养学生成为领导者,并在他们的职业生涯中不断创新;成为圣路易斯地区及其他地区经济发展的催化剂。
这项工作部分由国家科学基金会资助,资助的项目有CNS-1950171、CNS-1949753和CNS-1837519。

新闻旨在传播有益信息,英文原版地址:https://source.wustl.edu/2020/02/surfing-attack-hacks-siri-google-with-ultrasonic-waves/