我们知道亚马逊、谷歌和苹果分别转录了Alexa、Google Assistant和Siri的请求和查询。两家公司表示，这是为了改善这些基于人工智能的助手。如果您认为这是手机、平板电脑或扬声器上的虚拟数字助理将面临的唯一隐私问题，请重试。昨天发表的论文讨论了虚拟助手使用激光攻击向他们“注入”他们听不见或看不见的命令。这次名为“光命令”的攻击是在扬声器、电话和平板电脑上使用的小型高质量微机电麦克风上发现的一个漏洞。这种破解之所以有效，是因为激光可以被操纵来欺骗设备中的麦克风，使其相信它正在接收音频命令。换句话说，坏演员本质上是劫持了语音助手。

这次袭击最可怕的是，它可以通过玻璃和从360英尺外的另一座建筑进行。攻击必须有视线，激光束必须打在麦克风的特定部位。但一旦这次攻击成功，可能会让黑客控制智能家电和智能车库门，进行网上购买，远程解锁启动部分车辆，利用蛮力方法打开智能锁，找到PIN码。暴力攻击使黑客能够使用各种可能的组合进行大量尝试来发现设备上使用的个人识别码。

Light Commands攻击可能会导致未经授权的在线购买。"

组装一个灯光命令系统并不昂贵。它只需要一个激光指示器、一个激光驱动器和一个声音放大器。长焦镜头可以用于远程攻击。总的来说，这种设置的成本可能不到581美元，大多数商品都可以从亚马逊购买。

该报告列出了几个容易受到Light Commands攻击的设备，并指出：“虽然我们并不声称我们测试的设备列表是详尽的，但我们确实认为它确实为一些流行的语音识别系统提供了对Light Commands漏洞的直觉。”。列出的设备包括：

谷歌主页(谷歌助手)

谷歌家庭迷你版(谷歌助手)

谷歌NEST Cam IQ(谷歌助手)

Echo Plus第一代(Alexa)

Echo Plus第二代(Alexa)

回声亚马逊(Alexa)

回声点第二代(阿列克谢)

回声点第三代(Alexa)

回声秀5(阿列克谢)

回声点(阿列克谢)

脸书门户迷你版(阿列克谢)

火立方电视(阿列克谢)

回声蜂4(阿列克谢)

iPhone XR(Siri)

IPad第六代(Siri)

三星Galaxy S9(谷歌助手)

GooglePixel 2(谷歌助手)

报告指出，智能扬声器通常默认禁用扬声器识别，但在手机和平板电脑上默认启用扬声器识别。但是，这个安全系统仅使用识别系统来确定设备所有者是否说过助手的热词(“Ok，Google”，“Hey Siri”，“Alexa”)。当助手被激活时，灯光命令会发出错误的请求。报告指出，“说话人识别唤醒词的能力通常较弱，有时攻击者可以使用在线文本到语音合成工具模仿主人的声音，从而绕过说话人。”

虽然那些有设备被“光命令”攻击的人不会听到任何警报来提醒他们可疑事件正在发生，但用户可能能够检测到目标设备反射的激光发出的光。尽管该报告确实指出了利用该漏洞的方法，但它确实指出，没有迹象表明这种攻击是在野外使用的。只要确保你的智能扬声器没有靠近窗户，这可能是个好主意。该窗口不会为攻击者提供发动此类攻击所需的清晰视线。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：