研究发现新形态的NUIT攻击,可对智能手机、智能音箱或者物联网设备发动“无声攻击”。
美国研究团队展示一种名为Near-Ultrasound Inaudible Trojan(NUIT)的新型攻击,是利用设备的麦克风和语音助理漏洞,向语音助理如苹果Siri、Google助理、亚马逊Alexa等发送恶意命令,使智能手机、智能音箱及其他物联网设备遭到攻击。
由德州大学圣安东尼奥分校教授Guenevere Chen及其博士生Qi Xia,还有科罗拉多大学科罗拉多泉分校教授Shouhuai Xu所组成的研究团队发布论文,展示向设备发送恶意命令的能力。
NUIT攻击的主要原理是设备中的麦克风接收到人耳听不见的近距离超音波,可集成在媒体网站或YouTube视频中,诱骗受害者访问特定网站,或在可信赖的网站上播放特定YouTube视频就有可能中招,这属于相对简单的社交工程攻击手法。
“如果你在智能电视播放YouTube,智能电视具有扬声器,NUIT恶意命令可把特定音频变得听不见,攻击你的手机。甚至可能在进行视频会议时通过Zoom发动攻击,当有人取消静音聆听会议内容,可嵌入攻击信号来破解放在计算机旁的手机”,Guenevere Chen进一步解释,扬声器需要达到一定音量才能使NUIT攻击生效,但恶意命令的音频长度必须低于0.77秒。
语音助理悄悄接收到开门的恶意指令。(Source:NUIT Attack)
“如果不使用扬声器播出声音,就不太可能受到NUIT攻击”,Guenevere Chen建议可以使用耳机来代替扬声器,因为耳机发出的声音太低无法发送到麦克风,一旦麦克风无法接收到恶意命令,也就无法被启动语音助理。
面对新形态的NUIT攻击,除了对此攻击具有意识,且在点击网页连接和授给麦克风权限时更谨慎以外,试着以耳机播放声音也能避免遭遇恶意攻击。
(首图来源:Unsplash)