• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:741

1.有研究指出Siri、Cortana、Alexa等語音助理存在設計上的漏洞，可讓駭客將語音命令轉為人耳聽不到的超高頻率，在使用者不察的情形下對語音助理下達命令。

中國浙江大學的6名研究人員近日發表了一篇研究論文，指出市場上的各種數位語音助理皆含有設計漏洞，駭客只要將語音命令轉成人耳聽不見的超高頻率，以悄悄地要求裝置執行命令，研究人員把這類的攻擊命名為「海豚攻擊」（DolphinAttack）。
DolphinAttack的攻擊原理來自於一般人可以聽到介於20到2萬赫茲之間的聲音頻率，於是駭客製造了高於2萬赫茲的超高聲音頻率（Ultrasonic Frequency），人耳聽不見，但上述數位語音助理卻聽得見，於是駭客便可在使用者聽不見的狀態下秘密釋出指令。
被點名的數位語音助理包括蘋果的Siri、Google Now、Samsung S Voice、華為的HiVoice、微軟的Cortana，以及Amazon的Alexa。攻擊的方式也許是呼叫內建Alexa的Echo裝置開啟智慧鎖，或者是呼叫手機上的Siri撥打任意號碼，也能要求Mac上的Siri造訪惡意網站，甚至是改變Audi Q3汽車上導航系統的目的地。
但要執行海豚攻擊必須在距離聲控裝置1.8米的範圍內，且這些聲控裝置是隨時開啟的，此外，大部份的聲控裝置在接收到指令時通常會發出聲音而讓使用者有所警覺。研究人員則建議語音數位助理的開發商可限制相關技術所能接收到的聲音頻率，例如直接拒絕人耳收不到的頻率以避免遭到駭客濫用。
 

參考連結：

http://www.ithome.com.tw/news/116706
http://static6.businessinsider.com/image/52c455f1ecad04a1117479a8/do-dolphins-really-get-high-on-pufferfish.jpg