浙江大學的六名科學家發現，他們可以使用超聲波頻率這種人耳無法聽見的聲音，對那些語音助手軟件發送指令，從而接管手機、智能家居、甚至是汽車。而且這種攻擊方式不需要接觸手機。

　　研究人員把這種攻擊起名為DolphinAttack，因為海豚有的時候會用人耳無法聽到的聲音來交流。

　　7款主流語音助手中招

　　研究團隊稱，攻擊者可以將普通的語音轉換成超聲波頻率的信號，然后用3美元的現成電子設備向周邊的設備發送指令。

　　顯然這種新奇的攻擊方式從沒有被想到過，所以主流的語音助手紛紛淪陷，包括Alexa, Cortana, Google Now, Huawei HiVoice, Samsung S Voice和Siri。

　　除了手機，很多電腦、智能家居助手等設備，甚至是奧迪智能汽車上也使用了這些語音助手，不出意外的是，研究人員的攻擊對他們也依然有效。

　　攻擊者幾乎可以完全控制設備

　　“我們測試的攻擊包括在iPhone上運行Facetime，在亞馬遜Echo上播放音樂，操控奧迪汽車中的導航系統等?！?/p>

　　其實語音助手軟件能做很多事，利用其中的一些指令攻擊者就可以進行入侵。比如攻擊者可以用用戶的瀏覽器訪問惡意網站，安裝惡意應用，發送收費短信、打電話、或者是監聽電話等。

　　雖然各種軟件實現的功能有細微差異，但攻擊者能夠完成的操作起碼有：

　　訪問惡意網站：然后進行路過式下載攻擊，然后使用0day漏洞攻擊用戶設備。

　　監控：攻擊者可以撥打語音或者視頻電話，從而獲取到用戶周圍的聲音和圖像

　　植入虛假信息：攻擊者可以用用戶設備發送虛假短信、郵件、發布假的博文或者把虛假的事件添加到日歷

　　拒絕服務：攻擊者可以打開飛行模式，讓設備斷網。

　　隱蔽攻擊：屏幕顯示以及語音反饋都可能暴露攻擊，但是黑客可以降低屏幕亮度或者音量，達到隱藏的目的。

　　攻擊細節

　　研究人員利用了一臺方便攜帶的攻擊設備傳輸23 kHz, 25 kHz, 33 kHz, 40 kHz和48 kHz的信號，攻擊范圍最多1.75米。

　　實際環境中的背景噪音以及語音指令所使用的語言都會對攻擊成功率以及攻擊距離范圍有影響。

　　防御方法

　　研究團隊建議語音識別軟件加入最高頻率的限制，主動忽略那些高于20kHZ的聲音。

　　不過語音識別廠商估計也不會照做，因為有些廠商還有在線廣告的生意，他們可以用這種技術來跟蹤用戶投放廣告。

　　今年10月下旬美國會召開ACM，屆時研究人員會展示他們的研究成果。

責任編輯：韓希宇