堵住安全漏洞，別讓“海豚音”偷偷使喚你的手機

對著手機麥克風(fēng)輕輕說一聲，手機就能自動播放音樂、撥打電話以及查找路線，人工智能的語音識別技術(shù)讓手機、汽車、音響等設(shè)備“聽話”辦事，為人們帶來了諸多便利。然而，一種無聲的語音指令可能隱秘地控制語音助手。“它”對著你的手機下達命令，你聽不見，但手機已經(jīng)開始默默執(zhí)行操作。

這里“無聲的語音指令”，是指一種人耳無法聽見的超聲波，被稱為“海豚音攻擊”。日前，浙江大學(xué)電氣工程學(xué)院徐文淵教授團隊用事先錄制好的語音轉(zhuǎn)化為這種“海豚音攻擊”，成功啟動了蘋果手機Siri且撥出電話。

10月30日在美國達拉斯市，徐文淵團隊發(fā)表的論文《海豚音攻擊：聽不見的語音指令》，獲得信息安全領(lǐng)域的四大頂級學(xué)術(shù)會議之一的ACM CCS最佳論文獎。這是國內(nèi)高校和研究機構(gòu)首次獲得該會議的最佳論文獎，是中國研究人員在國際網(wǎng)絡(luò)及信息安全領(lǐng)域的一次重要突破。

你的手機“聽”我的

據(jù)悉，“海豚音攻擊”可以通過無聲的語音指令控制語音助手執(zhí)行相應(yīng)的操作。例如無聲地開啟語音助手、撥打任意電話、發(fā)短信、視頻通話以及將手機切換到飛行模式等，甚至操作奧迪汽車的導(dǎo)航系統(tǒng)。

徐文淵及其團隊發(fā)表的論文研究包括蘋果、華為等品牌的手機、電腦、智能手表、智能音響等多達17 種不同種類型的設(shè)備，分析包括Siri、Alexa、Google Now等7種語音助手，并成功地實現(xiàn)了攻擊。結(jié)果表明，“海豚音攻擊”可以在用戶完全不知情的情況下對受害者的智能設(shè)備進行任意惡意操作，受影響的智能設(shè)備種類眾多、范圍極廣。

“語音助手能做的事情，‘海豚音攻擊’都能做。”中國科學(xué)院信息工程研究所研究員朱紅松在接受科技日報記者采訪時表示，其攻擊的影響范圍取決于語音助手的功能。

中國科學(xué)院信息工程研究所正高級工程師孫德剛告訴科技日報記者，“海豚音攻擊”可以理解成一種訴諸于聽覺的傳播媒介，如同人看不見聽不到的電磁波一樣，具有隱蔽性，它的“攻擊性”也主要體現(xiàn)在隱蔽性這個特點上。

對于遭到“海豚音攻擊”是否會帶來手機支付方面的財產(chǎn)損失，孫德剛認為，手機或其它設(shè)備系統(tǒng)的安全性首先要經(jīng)過身份認證，確認發(fā)出命令的人是“誰”才可以做出反應(yīng)。此外，手機支付、手機銀行等應(yīng)用軟件會采取多次認證和用戶手動確認的方式核實用戶身份，比如輸入密碼、輸入手勢或發(fā)送驗證碼確認。“目前語音助手暫時還沒有能力介入到這個認證過程。”孫德剛說。

手機聽得懂無聲的“海豚音”

語音助手為什么能聽懂無聲的語音指令？

徐文淵告訴科技日報記者，一般人能聽到的聲音頻率在2萬赫茲(20kHz)以下，而大部分裝有語音助手的設(shè)備可以接收到20kHz以上聲音頻率，其中有不少還能接收到40kHz以上的頻率。這就是為什么海豚音攻擊可以攻擊語音助手的原因。

“‘海豚音攻擊’是一個麥克風(fēng)本身的硬件漏洞。”徐文淵解釋，語音識別的第一步是麥克風(fēng)，麥克風(fēng)本應(yīng)只記錄人可以聽見的聲音，即20kHz以下的聲音，但出于提高性能和減小體積的需要，麥克風(fēng)必然跟最高頻有響應(yīng)，以至于也能接收到高于20kHz的聲音。

這就給了“海豚音攻擊”可乘之機。

徐文淵團隊通過超聲波播放器把語音信號調(diào)制加載到超聲波信號，當(dāng)其頻率大于20kHz時，人耳無法聽見，但手機的語音助手依然可以接收這樣的命令。

“我們發(fā)射‘海豚音攻擊’時，好似把玩具放到2米高臺階上，一般人看不到了。當(dāng)麥克風(fēng)接收聲音的時候，語音識別系統(tǒng)自動把玩具從臺階上拿到地面上。”徐文淵說。

“麥克風(fēng)輸出端已經(jīng)把超聲波信號恢復(fù)成一般可聽的指令。利用人工智能等技術(shù)進行語音和文本轉(zhuǎn)換的語音識別系統(tǒng)就會認為，這是一個正常的語音指令。‘海豚音攻擊’語令就和正常語音一樣。”徐文淵說。

如何反攻“海豚音攻擊”

有專家認為，抑制“海豚音攻擊”有兩種方法。一是讓語音助手只聽取特定人(手機擁有者)的語音，這需要在語音助手上運用聲紋識別技術(shù)。對此，徐文淵說，聲紋識別技術(shù)是利用每個人的音域、音高、發(fā)聲方法的差別對發(fā)聲者身份進行辨識。實驗表明，“海豚音攻擊”只是攻擊麥克風(fēng)，并不改變每個人的聲音，因此，“海豚音攻擊”可以繞過聲紋識別技術(shù)。

在語音助手軟件中增加數(shù)字濾波功能，被認為是第二種抑制“海豚音攻擊”的方法。徐文淵表示，濾波是將高于人耳范圍的信號過濾掉以后再進行識別。“海豚音攻擊”攻擊的是硬件漏洞，麥克風(fēng)在錄音過程已經(jīng)把語音提取下來，此時，濾波已經(jīng)無法發(fā)揮作用。

徐文淵表示，目前提出的解決方案有軟件和硬件兩種。近期軟件改進比較實際，長期希望在硬件上有所改進。

“麥克風(fēng)有漏洞，最根本的解決方法是重新設(shè)計麥克風(fēng)，讓傳感器對超聲波這個頻段不敏感。”徐文淵說。她還透露，曾與設(shè)計麥克風(fēng)的研究人員討論，獲悉麥克風(fēng)傳感器的重新設(shè)計存在技術(shù)難度。此外，硬件召回當(dāng)前也并不現(xiàn)實。

不過，軟件解決方案目前可行。徐文淵說，初步研究結(jié)果表明，用機器識別的方式進行辨識，到底是一般的語音還是超聲波加載恢復(fù)后的指令，在技術(shù)上是可行的。

“海豚音攻擊”的存在表明，有語音助手的設(shè)備或多或少可能受到影響。目前現(xiàn)實中并沒有受到攻擊的案例，但“海豚音攻擊”的發(fā)現(xiàn)是為了讓手機等智能設(shè)備廠家知道并修復(fù)漏洞。記者唐 芳