周末的午后,你在家打游戏,你绝对不会注意到一个小绿点在你旁边的智能音箱上。那是从窗户穿过马路的另一栋建筑物发出的激光束。突然,房间里的灯亮了。空调、空气净化器、扫地机器人都启动了,手机收到了电商平台的扣款提醒,甚至你的车库门都被打开了……而你的手机和平板突然开始疯狂,与疯狂的下载和删除不同。应用程序、播放奇怪的视频和音乐、在社交软件上向朋友发送奇怪的消息……发生了什么事?谁在不知不觉中闯入了你的生活?其实,这是日本电气通信大学和美国密歇根大学的科学家们的新发现:当激光打在装有语音助手的设备上时,它可以伪装成人的声音,转换成通过麦克风转换为电信号,无声地发出命令来控制连接的设备。因此,那些连接了GoogleAssistant、AmazonAlexa、AppleSiri的机器,无论是智能灯、门锁、电器等硬件设施,还是各种电商、支付、社交APP,都会在不知不觉中被控制。虽然科学家们还没有在其他品牌的语音助手上进行过测试,但Qubit采访了腾讯旗下的安全团队TencentBladeTeam,他们表示:原则上,问题大多是相互关联的。不需要强激光,普通激光笔的强度就够了。即使距离110米,即使身处外面的另一栋楼,即使要隔着玻璃窗,也能控制你的智能音箱、手机和平板电脑。恐怖演示过程来看看科学家们的行动吧。命令GoogleAssistant打开车库门的短语“OKGoogle,打开车库门”嵌入在智能扬声器麦克风上的激光束中。智能音箱说“好的,开门”,车库门打开了。那么如果距离设置的很远呢?在第二次演示中,激光发射器与智能音箱之间的距离长达110米。科学家们在激光中嵌入了“OKGoogle,现在几点了?”的短语。询问时间,然后将其发射到智能扬声器的麦克风中。“九点四十三分”没等人问,智能音箱突然自己说了一个时间。即使在窗外的另一栋楼,也不影响激光对智能音箱的控制。在第三次演示中,科学家们将激光源移到远处的一栋高楼上,透过玻璃窗发射激光,并命令GoogleAssistant打开车库门,并将“OKGoogle,打开车库门”嵌入其中激光,它击中了Windows智能扬声器的麦克风。由于发射点又高又远,科学家们干脆给激光器装上长焦镜头。智能音箱顺手回复“OK,开门”,打开了车库门。最后,如果想观看三个演示的全过程,可以点击视频↓↓↓https://www.ixigua.com/i6757897498930446852/当然,这里没有“鬼故事现场”的感觉示范。一个原因是激光是可见的,另一个原因是你可以听到语音助手的声音。因此,科学家们也尝试了红外线,红外线是人类肉眼看不见的,而且可以在较近的距离内工作;至于语音助手的回复,主人会听到。无声掌控着一切。看到这里,你可能会疑惑,激光怎么能伪装成人声呢?让麦克风听人声的故事始于去年春天。来自日本的菅原健是一位研究网络安全问题的科学家。他专程到美国,向密歇根大学的同事傅凯文教授展示了他刚刚解锁的一波技能:将一束高强度激光对准iPad的麦克风,然后用它以每秒振动约1000次的正弦波不断调整激光的强度。傅家伟戴着耳机,听着话筒传来的声音。令他吃惊的是,他听到了高频音调。明明是一个接收声波的装置,但是它把光波当作声波来接收。这是MEMS麦克风的一个重要弱点。大多数手机和智能音箱都使用MEMS麦克风,因此。自从有了这个神奇的发现,菅原君和傅家伟的实验室就一直在用激光来欺骗智能音箱,攻击各种接收语音指令的设备。科学家表示,只要将激光的强度调整到特定的频率,激光就会以相同的频率干扰麦克风,让麦克风将光波解调成电信号。就像下图一样,上半部分是激光发出的信号,下半部分是麦克风接收到的信号。频率几乎相同:无需指定发射位置,只要将激光对准麦克风,麦克风就会将光转换成电信号。声波也被转换成电信号。当然,如果只是随机的电信号,是不足以让音箱乖乖听你说话的。它必须让它认为这是人声。因此,研究人员不得不对激光器进行调幅(AM),使麦克风能够发出接近人声的信号。如开头所示,他们选择了一系列指令,包括:“几点了?”“把音量调到零”“买个激光笔”“打开车库门”等等。然后,使用这些词的语音波形来自定义激光的强度变化。这样一来,智能音箱接收到的电信号就会和听到人声时几乎一样。起初,他们用60毫瓦激光测试了16种不同的智能扬声器。结果,50米是接收成功的最远距离。攻击手机难度大一些:iphone需要在10米以内,安卓手机需要在5米以内。后来,科学家们想测试这项技术的局限性在哪里。因此,将激光强度降低到5毫瓦,相当于廉价激光笔的水平,并将距离拉长到110米。尽管许多扬声器没有反应,但GoogleHome和最初的EchoPlus仍然可以解决问题,这就是您在开始时看到的情况。为了进一步增加难度,激光从窗户发射,距离为76米。这次我没有骗过一个Echo,但GoogleHome还是被骗了,这是唯一剩下的果实:至于为什么麦克风也会对光波做出反应,哈佛大学电气工程退休教授保罗·霍洛维茨表示,至少有两种物理机制可以使麦克风将激光误解为声波。一是激光脉冲加热麦克风的振膜,导致周围空气膨胀,产生压力。声音也通过产生声压被麦克风捕获。其次,如果被攻击的设备不是完全不透明的,光实际上可以直接穿过麦克风到达芯片,这样光波的振动就可以转化为电信号。这可能与太阳能电池板中的二极管或光纤电缆末端的光电效应是相同的原理。如果是这样的话,激光作为语音命令会更容易。此外,量子比特还采访了腾讯的安全团队——腾讯刀锋团队。他们的理解是,这项研究类似于此前业界的“海豚音攻击”,都是利用麦克风的一些特殊硬件特性进行攻击,但这种“轻型攻击”可以从更远的距离(超过100米)发动,在现实生活中利用难度较低。攻击难度降低,防御难度增加。Blade团队认为,这项研究意义重大:从目前公开的信息来看,厂商很难从软件层面彻底修复该漏洞。在安全圈之前,还没有将光信号转换成电信号的MEMS麦克风。本研究仍具有较高的创新性和现实意义。我怎样才能不被黑客入侵?看到这样的攻击效果,谷歌和亚马逊迅速做出回应:谷歌表示,一直在仔细观察此次的研究成果,并强调其一直非常重视保护用户和提高设备的安全性能。亚马逊也发表声明称正在阅读该论文,稍后将与作者沟通以了解更多有关该研究的信息。在厂商给出补救措施之前,研究人员先给他们提供了一些友好的建议:比如可以设置为让用户先输入语音密码,解锁后再发出指令。例如,可以在麦克风周围增加光屏蔽以抵御激光攻击。再比如,依靠音箱两侧的两个麦克风同时接收指令,然后进行比较。因为有两个麦克风,很难同时被击中。当然,对产品进行这样的升级需要花费大量的时间。你现在所能做的就是不要把你的智能音箱放在黑客可以看到的地方。否则,使用那些需要解锁的设备。人脸解锁和指纹解锁都可以起到保护作用,防止语音助手收到黑客的指令。腾讯刀锋团队还提醒,最好关闭声纹识别(因为声纹也可以被激光冒充),或者在设备外部的麦克风端口贴上黑色标签,以阻挡激光攻击。作者一写菅原健,就是那个从日本跑到美国炫(勉)技(ji)的电子通信大学(UBE)副教授。密歇根大学教授KevinFu专注于攻击各种AI。Qubit此前曾报道过一种将硬盘变成虫子的方法,这也是他参与的一项研究,难怪菅原先生不远千里找到他。DanielGenkin,密歇根大学助理教授。他和傅家伟都是书房的负责人。此外,还有两位作者是傅家伟教授实验室的成员,BenjaminCyr和SaraRampazzi。
