压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

家庭語音數(shù)字助理，比如亞馬遜的Echo、Alexa、微軟的Cortana和蘋果Siri，本是為了幫助用戶通過簡(jiǎn)單易用的語音接口快速登錄各項(xiàng)服務(wù)的，卻也在同時(shí)為網(wǎng)絡(luò)攻擊者打開了方便之門。

比如說，本月晚些時(shí)候舉行的黑帽大會(huì)上，4名研究人員就將演示Cortana如何被用于繞過鎖定Windows設(shè)備的安全保護(hù)措施。雖然該團(tuán)隊(duì)利用的是名為“芝麻開門”的特定漏洞，語音助理的問題卻不僅止于此。

語音接口是個(gè)好主意，但并不適用于所有設(shè)備或行為。讓語音接口可以全權(quán)處理所有PC事務(wù)，或者可通過語音接口登錄企業(yè)網(wǎng)絡(luò)環(huán)境，并不是個(gè)非常明智的架構(gòu)決策。

將在黑客大會(huì)上演示的這個(gè)研究?jī)H涉及利用語音助理的最新攻擊。語音助理往往太過強(qiáng)調(diào)便捷性而忽視了安全因素。但市面上往各種設(shè)備中添加數(shù)字助理的做法大行其道，智能手機(jī)和PC往往都帶有語音助理以作為與設(shè)備互動(dòng)的快捷新方法。亞馬遜Echo和谷歌Home之類的智能音箱也迎來了銷售高峰，每6個(gè)美國(guó)人就擁有一臺(tái)此類設(shè)備。

然而，安全問題遲早暴露，安全事件已經(jīng)呈現(xiàn)。2017年1月，電視機(jī)里新聞主播的一句“我喜歡小女孩說‘Alexa幫我訂個(gè)玩偶’”，就讓觀眾家中的Alexa去下單訂購(gòu)?fù)媾剂恕?018年5月，亞馬遜智能音箱捕捉到一對(duì)夫妻的交談，默默錄下并發(fā)送給了他們的一個(gè)朋友。

這些事件凸顯出，除了繞過安全控制措施，語音助理簡(jiǎn)直就是個(gè)從不偷懶的傳感器，隨時(shí)監(jiān)聽周圍聲音拾取潛在指令。在語音助理面前，主人的隱私？不存在的。

會(huì)被意外觸發(fā)的事件，比如上面所說的電視播音導(dǎo)致Echo訂購(gòu)?fù)媾际录幵趦?yōu)先處理序列。研究如何避免此類事件的領(lǐng)域如今比較熱門。

那么，攻擊者利用語音助理的方式有哪些呢？

1. 在音頻中暗藏指令

針對(duì)機(jī)器學(xué)習(xí)和人工智能系統(tǒng)的攻擊中，有一類是通過修改輸入(視覺系統(tǒng)改圖像，聲音系統(tǒng)改音頻)來讓機(jī)器將之理解成完全不同的另一個(gè)東西。

加州大學(xué)伯克利分校的Carlini博士在研究中采用了這種技術(shù)，僅改動(dòng)了0.1%的語音音頻，就將轉(zhuǎn)錄出來的文字變成了完全不同的另一句話。該技術(shù)甚至能在音樂中隱藏指令。

目前，該技術(shù)還只能應(yīng)用在嚴(yán)格控制的環(huán)境中，但發(fā)展成通用攻擊也是可行的。

“該攻擊能否無線實(shí)施尚未可知。我們?cè)囘^一些很明顯的東西，但都沒有太深入。我認(rèn)為這種可能性是存在的?！?/p>

——Carlini說道

2. 機(jī)器能聽見，人耳聽不見

在其他語音中隱藏指令不是唯一一種操縱語音助理的隱秘方式。2017年演示的攻擊中，浙江大學(xué)的6名研究人員就用人耳聽不到的語音指揮Siri撥打電話或做點(diǎn)別的什么事了。

該攻擊被命名為“海豚攻擊”，證明了語音助理安全性的缺失可被黑客利用來操控其訪問惡意網(wǎng)站、監(jiān)視用戶、注入虛假信息或執(zhí)行拒絕服務(wù)攻擊。

研究人員稱：“該攻擊提醒我們，應(yīng)重新思考語音控制系統(tǒng)應(yīng)支持的功能和人類互動(dòng)等級(jí)了?！?/p>

3. 被竊聽？沒錯(cuò)！

即便沒有采取任何操作，語音助理也總在監(jiān)聽潛在指令。與手機(jī)類似，家庭語音助理是知道你很多私密事的傳感器。這就讓語音助理背后的公司在你家里占據(jù)了特權(quán)地位，了解你生活的方方面面，也就讓它們成為了攻擊者的理想目標(biāo)。

這些設(shè)備從設(shè)計(jì)上就是要隨時(shí)監(jiān)聽周圍環(huán)境才能及時(shí)捕獲用戶的關(guān)鍵字，然后開始收集數(shù)據(jù)并傳輸?shù)皆贫?，?jīng)運(yùn)算分析后再采取相應(yīng)操作。所以，語音助理本來就是放在用戶家里的竊聽器。

除了惡意攻擊，此類設(shè)備還會(huì)意外暴露用戶隱私。夫妻私密對(duì)話被亞馬遜Echo錄下的事件中，該設(shè)備誤聽了3個(gè)指令，或者說誤將他倆對(duì)話中的三句當(dāng)成了指令，他們的交談就被錄下并發(fā)給了朋友。

4. 超越系統(tǒng)安全

很多通用設(shè)備，比如PC或手機(jī)，其代碼庫(kù)中的很多部分都可以被黑客利用。加入語音助理技術(shù)并將便利性置于安全考慮之上時(shí)，該攻擊界面只會(huì)變大變薄，讓攻擊者更好利用。

今年黑客大會(huì)上將有研究人員演示Cortana數(shù)字助理給Windows設(shè)備帶來的諸多弱點(diǎn)。

“在這么多用例中引入如此復(fù)雜的邏輯，而且全都建立在假定計(jì)算機(jī)已被鎖定的情況下——這么做肯定沒好果子吃。這攻擊界面太寬廣了。”

5. 在設(shè)備間跳轉(zhuǎn)

攻擊者常會(huì)通過路由器或不安全無線網(wǎng)絡(luò)侵入用戶家庭。語音助理又給他們?cè)鎏砹肆硪粭l橋接攻擊的途徑——利用電視機(jī)甚至街上聲音巨大的車載收音機(jī)來向語音助理發(fā)號(hào)施令。

電視里的新聞主播讓Echo買了個(gè)玩偶的事件就是此類攻擊的意外版本。

大多數(shù)此類問題都沒有容易的解決方案。雖然可以設(shè)置過濾器限制非人類聽覺范圍內(nèi)的輸入，但其他問題的大多數(shù)安全補(bǔ)丁都會(huì)讓設(shè)備更難以使用，因而僅會(huì)在特定情況下才會(huì)應(yīng)用，比如購(gòu)買商品或轉(zhuǎn)賬時(shí)。

從可用性的角度看，多增加一個(gè)驗(yàn)證因子不是用戶希望的。但除此之外似乎又沒有其他更好的解決方案了。