10月31日至11月4日,被称为网络安全领域顶级学术会议的ACMCCS (Conference on Computer and Communications Security)2017在美国达拉斯召开。浙江大学电气工程学院智能系统安全实验室徐文渊教授团队的论文DolphinAttack: Inaudible VoiceCommands(海豚音攻击:听不见的声音指令)被评为5篇最佳论文之一。这是来自中国高校的论文首次获选最佳论文。
ACMCCS,与IEEE S&P、UsenixSecurity和NDSS并称计算机安全领域“四大安全顶级会议”(简称四大),每年都有来自国内外顶级高校以及研究机构的众多研究人员投稿和参会。据主办方介绍,本次会议共接收到来自全世界高校和实验室的846篇论文,经过三轮筛选,录用151篇,并选出11篇论文候选最佳论文。最终,徐文渊团队的论文获最佳论文奖(BestPaper Award)。
在这篇论文中,徐文渊团队在世界上率先指出了目前普遍存在于智能设备中的麦克风的一个硬件漏洞,利用这个漏洞,黑客可以“黑”进智能设备的语音助手系统,让语音助手接收并执行超声波指令。这项发现在多个智能设备中得到验证。
DolphinAttack也称为“海豚音攻击”,可以通过无声的语音指令控制语音助手执行相应的操作,例如:无声地开启语音助手、拨打任意电话、发短信、视频通话,以及将手机切换到飞行模式等,甚至操作奥迪汽车的导航系统。论文研究分析了多达17种不同类型的设备,包括Apple、Google、亚马逊、阿里巴巴、三星、华为等品牌的手机、平板和笔记本电脑、智能手表、智能音响,分析了7种语音助手,包括Siri、Alexa、GoogleNow、Cortana、SVoice,HiVoice、天猫精灵,并成功地实现了攻击。“海豚音攻击”可以在用户完全不知情的情况下对用户的智能设备进行任意恶意操作,受影响的智能设备种类众多、范围极广。
为了尽快解决安全隐患,实验室研究人员已经将存在的隐患以及相应的解决方案告知了包括谷歌、苹果、微软、亚马逊、三星和华为在内的生产厂商,收到了他们的积极回复和后续的深度合作邀请。
浙江大学电气学院系统安全实验室(USSLAB)依托于浙江大学电气工程学院在电气、电子和电网方面的基础平台,充分发挥电气和计算机、硬件和软件相交叉的研究思路,在包括物联网、嵌入式系统、智能电网安全等领域开展了深度的研究,并取得了优秀的成果。
(张国明 朱原之)
来源:浙江大学