看看揚聲器如何通過偽裝的語音命令劫持語音助理

• 2019 年 10 月 30 日
• 筆記

據由Horst Gortz Institute的IT Security發佈的最新研究表明，在人們沒有注意到的情況下，可以通過任何平常的語音文件通過普通的揚聲器向語音助理隱秘發送命令。語音識別軟件可以偵測並反饋這些隱藏的語音命令，會引發潛在的安全問題，這需要引起開發者的注意。

研究者去年首次展示了可以將訊息分解(Break down)，並將其隱藏在人耳所聽不到的音頻文件中。這些隱藏的命令必須直接作為數據傳輸(Be transmitted as data)以便軟件可以隨後處理。現在，任何揚聲器播放修改(Altered)之後的音頻就可以成功的在空氣中傳播秘密指令。

修改後的音頻聲音對人耳來說僅僅可以體會到微小的失真(Distorted)。實驗中使用的開源的語音識別系統如Kaldi可以準確地聽到和理解隱藏的信息(Message underneath)。

研究者通過心理聲學(Psychoacoustics)隱藏訊息，人們如何感知(Perceive)和理解所聽到的。人耳和人腦具有非凡的能力(capable of amazing feats)，但是對於修改的信息的利用有局限性(Have limites that the altered message exploits)。

在人耳處理特定頻率的聲音的時候，有若干毫秒會忽略低音量聲音(Ignore low-volume sounds)。機器就不存在這種限制。

在音頻文件中的特定時刻，若將秘密命令隱藏在特定頻率中時，人耳僅僅聽到經典干擾聲音(Static)，軟件卻可以識別出信息。這與主音頻文件無關(Main audio is irrelevant)，可以使人生，交響樂，自然界聲音等等。最終效果是一樣的。

在集成所有的心理聲學(Psychoacoustic)因素到修改的音頻的過程中，研究者需要考慮在廣播的時候如何保證空間形狀的聲音信息的完整性(keep message intact)。

研究者開發的程序在發送隱含了信息的音頻文件之前，通過調整音頻以適應特定的房間的形狀。

「對比先前的工作採用固定的設置，我們的方法是將不同房間的特徵(Characteristics of room)和麥克風以及揚聲器的位置考慮在內」，「我們可以創建強大的對立樣本(Adversarial examples)，該樣本適應不同的室內特徵，如果使用通常的設定或者室內空間發生了變化」

隱藏的音頻攻擊

這很像計算機病毒。惡意的指令偷偷地流進了程序中，用戶直到黑客啟動指令的時候才意識到被入侵。

控制語音助理髮送私密信息給黑客，或者通過語音APP詐騙(Fraud)都是可能的犯罪方式。

這種脆弱性(Vulnerability）比以前發現的其他語音助理的安全問題都更為嚴重(Significantly worse)。比如Alexa 開發者記錄智能手機附近的對話音頻16秒鐘的漏洞。

另一個是"DolphinAttack」，超聲波傳輸的語音命令可以激活並部分的(partially)控制語音助理。但這僅僅在攻擊者與設備非常近的情況下發生，包括Siri, Alexa, Google Assistant。

為了解決以上人耳聽不到的隱藏信息問題，研究者們相應(In tandem)開發了語音操縱解決方案(Countermeasures）。

一個潛在的方案是語音助理將所有接收到的音頻文件轉換為Mp3格式，這可以消除人耳所聽不見的頻率文件。當研究者將操縱音頻(Manipulated audio）轉變為MP3格式後，語音助理不再可以接收隱含的代碼。

唯一的通過MP3傳輸隱含信息的方式是將其適配到頻率範圍之內。通過將人類聽覺頻率限制應用到設備，是一個很好地解決此類問題的方案。