黑(hēi)客發現通(tōng)過Siri和(hé)Google Now攻擊手機的(de)新方法
發表日期:2015.10.15 訪問人(rén)數:678
Kasmi和(hé)Esteves通(tōng)過無線電波入侵手機語音(yīn)命令的(de)實驗裝置。
據外媒報道,法國信息安全機構ANSSI發現了(le)一種可(kě)以不被智能機使用(yòng)者所注意到,即可(kě)向Siri和(hé)Google Now發送無線電指令的(de)方法。
被欺騙的(de)虛拟助手将會開始執行一些任務,比如打開一個(gè)引向部署惡意軟件的(de)網頁、向吸費号碼發短信或打電話(huà)、通(tōng)過Facebook/Twitter/電子郵件發表垃圾消息或釣魚郵件。
除非盯著(zhe)屏幕,不然iPhone和(hé)Android用(yòng)戶很難注意到自己被攻擊了(le)。事後注意到蛛絲馬迹的(de)可(kě)能性不是很高(gāo),除非你突然意識到自己的(de)賬單費用(yòng)突然大(dà)幅增長(cháng)。
這(zhè)種方法在酒吧等人(rén)群密集的(de)地方殺傷力更大(dà),因爲此時(shí)手機通(tōng)常會被放在錢包或口袋裏。
研究員(yuán)Jos Lopes Esteves和(hé)Chaouki Kasmi在IEEE上發表的(de)一篇文章(zhāng)中寫到:“可(kě)被音(yīn)頻(pín)誘導信号聲控喚起的(de)前沿設備,其安全将受到嚴重的(de)影(yǐng)響”。
ANSSI研究組主管Vincent Strubel亦指出:“此事幾乎沒有限制,你能通(tōng)過語音(yīn)接口做(zuò)到的(de)遠(yuǎn)程,電磁信号也(yě)可(kě)以細心地做(zuò)到”。
舉例來(lái)說,當你的(de)将帶麥克風的(de)耳機插入iPhone或Android設備之後,攻擊者可(kě)将耳機當做(zuò)是一個(gè)ad-hoc天線,以便将電磁波轉換成欺騙操縱Siri或Google Now的(de)語音(yīn)指令。
攻擊設備可(kě)由開源的(de)GNU Radio、USRP軟電台、放大(dà)器、以及一根天線所組成,它可(kě)輕松塞入一隻雙肩背包,有效覆蓋半徑約6.5英尺(2米)。
如果是裝在廂式貨車裏的(de)一根大(dà)天線,甚至可(kě)以将覆蓋半徑增加到16英尺(4米)。當然,如果你禁用(yòng)了(le)Siri或Google Now,那麽這(zhè)個(gè)方法就不管用(yòng)了(le)。
