Kasmi和Esteves通過(guò)無(wú)線(xiàn)電波入侵手機語(yǔ)音命令的實(shí)驗裝置。

 

據外媒報道，法國信息安全機構ANSSI發(fā)現了一種可以不被智能機使用者所注意到，即可向Siri和Google Now發(fā)送無(wú)線(xiàn)電指令的方法。

 

被欺騙的虛擬助手將會(huì )開(kāi)始執行一些任務(wù)，比如打開(kāi)一個(gè)引向部署惡意軟件的網(wǎng)頁(yè)、向吸費號碼發(fā)短信或打電話(huà)、通過(guò)Facebook/Twitter/電子郵件發(fā)表垃圾消息或釣魚(yú)郵件。

 

除非盯著(zhù)屏幕，不然iPhone和Android用戶(hù)很難注意到自己被攻擊了。事后注意到蛛絲馬跡的可能性不是很高，除非你突然意識到自己的賬單費用突然大幅增長(cháng)。

 

這種方法在酒吧等人群密集的地方殺傷力更大，因為此時(shí)手機通常會(huì )被放在錢(qián)包或口袋里。

 

研究員Jos Lopes Esteves和Chaouki Kasmi在IEEE上發(fā)表的一篇文章中寫(xiě)到：“可被音頻誘導信號聲控喚起的前沿設備，其安全將受到嚴重的影響”。

 

ANSSI研究組主管Vincent Strubel亦指出：“此事幾乎沒(méi)有限制，你能通過(guò)語(yǔ)音接口做到的遠程，電磁信號也可以細心地做到”。

 

 

舉例來(lái)說(shuō)，當你的將帶麥克風(fēng)的耳機插入iPhone或Android設備之后，攻擊者可將耳機當做是一個(gè)ad-hoc天線(xiàn)，以便將電磁波轉換成欺騙操縱Siri或Google Now的語(yǔ)音指令。

 

攻擊設備可由開(kāi)源的GNU Radio、USRP軟電臺、放大器、以及一根天線(xiàn)所組成，它可輕松塞入一只雙肩背包，有效覆蓋半徑約6.5英尺（2米）。

 

如果是裝在廂式貨車(chē)里的一根大天線(xiàn)，甚至可以將覆蓋半徑增加到16英尺（4米）。當然，如果你禁用了Siri或Google Now，那么這個(gè)方法就不管用了。