黑客發現通過Siri和Google Now攻擊手機的新方法
發表日期:2015.10.15 訪問人數:678
Kasmi和Esteves通過無線電波入侵手機語音命令的實驗裝置。
據外媒報道,法國信息安全機構ANSSI發現了一種可以不被智能機使用者所注意到,即可向Siri和Google Now發送無線電指令的方法。
被欺騙的虛擬助手將會開始執行一些任務,比如打開一個引向部署惡意軟件的網頁、向吸費號碼發短信或打電話、通過Facebook/Twitter/電子郵件發表垃圾消息或釣魚郵件。
除非盯著屏幕,不然iPhone和Android用戶很難注意到自己被攻擊了。事后注意到蛛絲馬跡的可能性不是很高,除非你突然意識到自己的賬單費用突然大幅增長。
這種方法在酒吧等人群密集的地方殺傷力更大,因為此時手機通常會被放在錢包或口袋里。
研究員Jos Lopes Esteves和Chaouki Kasmi在IEEE上發表的一篇文章中寫到:“可被音頻誘導信號聲控喚起的前沿設備,其安全將受到嚴重的影響”。
ANSSI研究組主管Vincent Strubel亦指出:“此事幾乎沒有限制,你能通過語音接口做到的遠程,電磁信號也可以細心地做到”。
舉例來說,當你的將帶麥克風的耳機插入iPhone或Android設備之后,攻擊者可將耳機當做是一個ad-hoc天線,以便將電磁波轉換成欺騙操縱Siri或Google Now的語音指令。
攻擊設備可由開源的GNU Radio、USRP軟電臺、放大器、以及一根天線所組成,它可輕松塞入一只雙肩背包,有效覆蓋半徑約6.5英尺(2米)。
如果是裝在廂式貨車里的一根大天線,甚至可以將覆蓋半徑增加到16英尺(4米)。當然,如果你禁用了Siri或Google Now,那么這個方法就不管用了。
