压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

研究人員發(fā)現(xiàn)一種利用Siri竊取蘋(píng)果iPhone/iPad數(shù)據(jù)的方法

責(zé)編:admin |2015-01-22 14:50:43

  研究人員最近發(fā)現(xiàn)一種屌炸天的攻擊方法:利用蘋(píng)果iOS語(yǔ)音服務(wù)Siri,結(jié)合信號(hào)處理中的隱寫(xiě)術(shù)原理,可以從越獄的iPhone和iPad中悄悄竊取數(shù)據(jù)并上傳到遠(yuǎn)程服務(wù)器。

  意大利國(guó)家研究委員會(huì)的Luca Caviglione和華沙理工大學(xué)的Wojciech Mazurczyk聯(lián)合發(fā)表了一篇名為《理解隱藏在iOS中的信息》的學(xué)術(shù)論文。論文中描述了一種方法,只需通過(guò)三步就可以獲取iOS設(shè)備中的數(shù)據(jù)。

  科普:什么是Siri?

  Siri是蘋(píng)果公司在其產(chǎn)品iPhone4S,iPad Air及以上版本手機(jī)上應(yīng)用的一項(xiàng)語(yǔ)音控制功能。Siri可以令iPhone4S及以上(iPad Air)變身為一臺(tái)智能化機(jī)器人,利用Siri用戶(hù)可以通過(guò)手機(jī)讀短信、介紹餐廳、詢(xún)問(wèn)天氣、語(yǔ)音設(shè)置鬧鐘等。Siri可以支持自然語(yǔ)言輸入,并且可以調(diào)用系統(tǒng)自帶的天氣預(yù)報(bào)、日程安排、搜索資料等應(yīng)用,還能夠不斷學(xué)習(xí)新的聲音和語(yǔ)調(diào),提供對(duì)話式的應(yīng)答。

  攻擊原理

  這種攻擊方法稱(chēng)為iStegSiri,它利用Siri發(fā)送給蘋(píng)果服務(wù)器的語(yǔ)音數(shù)據(jù)來(lái)隱藏秘密數(shù)據(jù)。而在該數(shù)據(jù)傳輸?shù)教O(píng)果服務(wù)器之前,攻擊者可以攔截并操作該數(shù)據(jù),從中提取出秘密數(shù)據(jù)。

  首先,攻擊者必須將秘密數(shù)據(jù)轉(zhuǎn)換成基于“語(yǔ)音和靜音交替出現(xiàn)”的音頻序列。然后,這個(gè)實(shí)時(shí)變化的聲音模式通過(guò)內(nèi)部麥克風(fēng)輸入給Siri。Siri將語(yǔ)音數(shù)據(jù)發(fā)送到蘋(píng)果服務(wù)器,服務(wù)器端將語(yǔ)音數(shù)據(jù)轉(zhuǎn)換成文本數(shù)據(jù),然后發(fā)送回iOS設(shè)備。最后,攻擊者必須能夠被動(dòng)地監(jiān)控iOS設(shè)備發(fā)送給服務(wù)器的數(shù)據(jù)流,然后使用相應(yīng)的解碼方法來(lái)提取隱秘?cái)?shù)據(jù)。

  這些隱秘?cái)?shù)據(jù)可以是任何信息,可以是信用卡號(hào)碼,也可以是蘋(píng)果ID和密碼的組合等。

  “秘密監(jiān)聽(tīng)器必須能夠捕獲流量并解碼隱秘?cái)?shù)據(jù)。捕獲流量可以通過(guò)幾種方式實(shí)現(xiàn),包括透明代理或探針,將流量進(jìn)行離線處理。解碼算法實(shí)現(xiàn)了一個(gè)類(lèi)似投票算法的方法,使用兩個(gè)決定窗口來(lái)決定一幀數(shù)據(jù)屬于聲音或靜音(對(duì)應(yīng)1或0) 。”

  iStegSiri不需要安裝惡意程序或更改設(shè)備設(shè)置。研究人員說(shuō)該方法相對(duì)比較慢,每秒鐘只能發(fā)送0.5個(gè)字節(jié)的隱秘?cái)?shù)據(jù),這意味著傳輸一個(gè)16位的信用卡號(hào)碼需要花費(fèi)兩分鐘時(shí)間。

  “iStegSiri方法需要訪問(wèn)Siri的內(nèi)部運(yùn)作流程,這就意味著目前只有越獄的iOS設(shè)備才可以使用該方法。然而,iStegSiri的原理是使用實(shí)時(shí)的語(yǔ)音流量來(lái)嵌入隱秘?cái)?shù)據(jù)。因此,可以在類(lèi)似的應(yīng)用程序中進(jìn)一步利用該方法,例如Google Voice或者Shazam,或者利用編碼錯(cuò)誤在未來(lái)的應(yīng)用中實(shí)現(xiàn)。”

  防御措施

  論文中指出,針對(duì)這種攻擊理想的對(duì)策是在蘋(píng)果服務(wù)器端添加一些判斷:

  “例如,蘋(píng)果公司應(yīng)該分析包含可識(shí)別文本的語(yǔ)音模式,來(lái)判斷單詞順序是否明顯偏離語(yǔ)言的使用習(xí)慣。因此,可以斷開(kāi)一些連接來(lái)限制隱秘通信的數(shù)據(jù)傳輸率。這種方法不依賴(lài)于移動(dòng)設(shè)備,所以移動(dòng)設(shè)備不需要額外的功能或電池消耗。”

  研究人員最后表示,為了防止犯罪分子,目前暫未對(duì)外公開(kāi)iStegSiri攻擊方法的具體細(xì)節(jié)。

 

上一篇:智能無(wú)懼挑戰(zhàn) 山石網(wǎng)科轟動(dòng)RSA2015

下一篇:2014年全球十大攻擊事件