兩名來自法國網路暨資訊安全機構(ANSSI)的安全研究人員利用行動裝置上的耳嘜線,從遠端發號施令給裝置上的數位語音助理服務,因此能要求Android上的Google Now或是iOS上的Siri執行各種任務。

執行此一攻擊有兩個要件,一是耳嘜必須連結在裝置的音源孔上,二是裝置上的Google Now或Siri必須是開啟的。一旦上述兩個要件成立了,駭客就能以耳嘜線充當天線,以將電磁波轉成電子訊號,並讓系統誤認為這是來自麥克風的聲音。

這些無聲的電磁波可以喚醒系統上的Google Now或Siri,並要求這些語音數位助理執行各項行動,包括造訪惡意的網站、傳送垃圾訊息、寄送昂貴的簡訊,或是撥打付費電話等。

而且駭客只利用簡單的設備就能展開攻擊行動,包括一台執行GNU Radio的筆電、由軟體定義的無線電平台USRP、擴大器及天線等,這些設備可以直接放在背包,並攻擊6.5呎(2米)內的行動裝置用戶。若有更強大的設備則可將攻擊範圍擴大到16呎(4.8米)。

研究人員說明,他們是基於智慧型手機耳嘜線的前門耦合(front-door coupling)原理,以特定的電磁波型進行攻擊,透過故意的電磁干擾在手機平台上造成比阻斷服務攻擊更精細的影響,於現代的智慧型手機上展示了新的無聲遠端語音命令注射技術。

Android平台上的Google Now在螢幕鎖住的時候通常是關閉的,但iOS上的Siri在螢幕鎖住時的預設值仍是開啟的,這讓iOS比Android裝置更容易曝露在此類的攻擊風險中。(編譯/陳曉莉)


熱門新聞

Advertisement