压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　研究人員最近發現一種屌炸天的攻擊方法：利用蘋果iOS語音服務Siri，結合信號處理中的隱寫術原理，可以從越獄的iPhone和iPad中悄悄竊取數據并上傳到遠程服務器。

　　意大利國家研究委員會的Luca Caviglione和華沙理工大學的Wojciech Mazurczyk聯合發表了一篇名為《理解隱藏在iOS中的信息》的學術論文。論文中描述了一種方法，只需通過三步就可以獲取iOS設備中的數據。

　　科普：什么是Siri？

　　Siri是蘋果公司在其產品iPhone4S，iPad Air及以上版本手機上應用的一項語音控制功能。Siri可以令iPhone4S及以上（iPad Air）變身為一臺智能化機器人，利用Siri用戶可以通過手機讀短信、介紹餐廳、詢問天氣、語音設置鬧鐘等。Siri可以支持自然語言輸入，并且可以調用系統自帶的天氣預報、日程安排、搜索資料等應用，還能夠不斷學習新的聲音和語調，提供對話式的應答。

　　攻擊原理

　　這種攻擊方法稱為iStegSiri，它利用Siri發送給蘋果服務器的語音數據來隱藏秘密數據。而在該數據傳輸到蘋果服務器之前，攻擊者可以攔截并操作該數據，從中提取出秘密數據。

　　首先，攻擊者必須將秘密數據轉換成基于“語音和靜音交替出現”的音頻序列。然后，這個實時變化的聲音模式通過內部麥克風輸入給Siri。Siri將語音數據發送到蘋果服務器，服務器端將語音數據轉換成文本數據，然后發送回iOS設備。最后，攻擊者必須能夠被動地監控iOS設備發送給服務器的數據流，然后使用相應的解碼方法來提取隱秘數據。

　　這些隱秘數據可以是任何信息，可以是信用卡號碼，也可以是蘋果ID和密碼的組合等。

　　“秘密監聽器必須能夠捕獲流量并解碼隱秘數據。捕獲流量可以通過幾種方式實現，包括透明代理或探針，將流量進行離線處理。解碼算法實現了一個類似投票算法的方法，使用兩個決定窗口來決定一幀數據屬于聲音或靜音(對應1或0) 。”

　　iStegSiri不需要安裝惡意程序或更改設備設置。研究人員說該方法相對比較慢，每秒鐘只能發送0.5個字節的隱秘數據，這意味著傳輸一個16位的信用卡號碼需要花費兩分鐘時間。

　　“iStegSiri方法需要訪問Siri的內部運作流程，這就意味著目前只有越獄的iOS設備才可以使用該方法。然而，iStegSiri的原理是使用實時的語音流量來嵌入隱秘數據。因此，可以在類似的應用程序中進一步利用該方法，例如Google Voice或者Shazam，或者利用編碼錯誤在未來的應用中實現。”

　　防御措施

　　論文中指出，針對這種攻擊理想的對策是在蘋果服務器端添加一些判斷：

　　“例如，蘋果公司應該分析包含可識別文本的語音模式，來判斷單詞順序是否明顯偏離語言的使用習慣。因此，可以斷開一些連接來限制隱秘通信的數據傳輸率。這種方法不依賴于移動設備，所以移動設備不需要額外的功能或電池消耗。”

　　研究人員最后表示，為了防止犯罪分子，目前暫未對外公開iStegSiri攻擊方法的具體細節。