研究發現新型態的 NUIT 攻擊,可對智慧手機、智慧音箱或者物聯網裝置發動「無聲攻擊」。
美國研究團隊展示一種名為 Near-Ultrasound Inaudible Trojan(NUIT)的新型攻擊,是利用裝置的麥克風和語音助理漏洞,向語音助理如蘋果 Siri、Google 助理、亞馬遜 Alexa 等發送惡意命令,使智慧手機、智慧音箱及其他物聯網裝置遭到攻擊。
由德州大學聖安東尼奧分校教授 Guenevere Chen 及其博士生 Qi Xia,還有科羅拉多大學科羅拉多泉分校教授 Shouhuai Xu 所組成的研究團隊發表論文,展示向裝置發送惡意命令的能力。
NUIT 攻擊的主要原理是裝置中的麥克風接收到人耳聽不見的近距離超音波,可整合在媒體網站或 YouTube 影片中,誘騙受害者造訪特定網站,或在可信賴的網站上播放特定 YouTube 影片就有可能中招,這屬於相對簡單的社交工程攻擊手法。
「如果你在智慧電視播放 YouTube,智慧電視具有揚聲器,NUIT 惡意命令可把特定音訊變得聽不見,攻擊你的手機。甚至可能在進行視訊會議時透過 Zoom 發動攻擊,當有人取消靜音聆聽會議內容,可嵌入攻擊訊號來破解放在電腦旁的手機。」Guenevere Chen 進一步解釋,揚聲器需要達到一定音量才能使 NUIT 攻擊生效,但惡意命令的音訊長度必須低於 0.77 秒。
▲ 語音助理悄悄接收到開門的惡意指令。(Source:NUIT Attack)
「如果不使用揚聲器播出聲音,就不太可能受到 NUIT 攻擊」,Guenevere Chen 建議可以使用耳機來代替揚聲器,因為耳機發出的聲音太低無法傳送到麥克風,一旦麥克風無法接收到惡意命令,也就無法被啟動語音助理。
面對新型態的 NUIT 攻擊,除了對此攻擊具有意識,且在點擊網頁連結和授予麥克風權限時更謹慎以外,試著以耳機播放聲音也能避免遭遇惡意攻擊。
(首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
