智能音箱可以听到你的密码
星期五, 十二月 4, 2020
过去两年中,人们始终担忧流行的手机APP和智能音箱/语音助理会泄露个人隐私信息,但现实比我们想象得更为可怕。
近日,剑桥大学的研究人员发现,任何可以接收语音命令的智能设备(例如智能音箱或手机)仅通过聆听就可以推断出附近智能手机输入的大量信息(包括输入的密码)。
该研究表明,音频采集设备所带来的隐私威胁超出监听私密谈话,从物理键盘到手机触摸屏键盘上的输入信息一样无法逃脱其监控。
研究者在论文“使用语音助手解码智能手机的声音”(下载链接在文末)解释道:通过使用两个不同的智能手机和一台平板电脑,我们验证了攻击者可以从位于半米外的语音助手收集的录音中提取PIN码和文本消息。这表明远程键盘推断攻击不仅限于物理键盘,而且还扩展到了虚拟键盘。
幸运的是,较小的攻击半径是此类攻击在野外实施的主要障碍。
剑桥大学计算机科学博士学位候选人Shumailov指出:“我不认为现在就有人会使用我们描述的攻击方式。如果您担心隐私,最好不要一直开着麦克风。不幸的是,目前还没有关于如何在不大大降低设备可用性的情况下克服攻击的研究。”
欢迎来到生物穹顶
在Twitter上的讨论中,研究人员认为,滑动手势和密码可能容易受到剑桥团队开发的这种攻击方式的攻击。
但这并不意味着重视隐私安全的用户需要将认证方式转为苹果的FaceID面部识别技术(更不安全)或其他形式的生物认证技术。
研究者指出:“面部信息和其他生物识别标记往往已经成为公开信息,任何人都可以使用您的脸,而且在您访问过的大多数国家/地区,您都留下了指纹。此类生物认证技术顶多能防御一些路过式攻击,无法抵御复杂攻击。”
值得注意的是,新的论文与剑桥大学去年的一项研究有关。该研究分析了游戏应用程序如何通过手机麦克风监听手指轻击屏幕的振动来窃取银行PIN码,而最新的漏洞表明智能音箱/语音助手的效果几乎一样。
“智能音箱/语音助手有2到7个麦克风,因此它们可以像人耳一样进行定向定位,灵敏度更高。”研究者指出。
显然,我们大大低估了智能音箱的“听力”。
参考资料
使用语音助手解码智能手机的声音:
https://arxiv.org/abs/2012.00687