对着手机麦克风轻轻说一声,手机就能自动播放音乐、拨打电话以及查找路线,人工智能的语音识别技术让手机、汽车、音响等设备“听话”办事,为人们带来了诸多便利。然而,一种无声的语音指令可能隐秘地控制语音助手。“它”对着你的手机下达命令,你听不见,但手机已经开始默默执行操作。
这里“无声的语音指令”,是指一种人耳无法听见的超声波,被称为“海豚音攻击”。日前,浙江大学电气工程学院徐文渊教授团队用事先录制好的语音转化为这种“海豚音攻击”,成功启动了苹果手机Siri且拨出电话。
10月30日在美国达拉斯市,徐文渊团队发表的论文《海豚音攻击:听不见的语音指令》,获得信息安全领域的四大顶级学术会议之一的ACM CCS最佳论文奖。这是国内高校和研究机构首次获得该会议的最佳论文奖,是中国研究人员在国际网络及信息安全领域的一次重要突破。
你的手机“听”我的
据悉,“海豚音攻击”可以通过无声的语音指令控制语音助手执行相应的操作。例如无声地开启语音助手、拨打任意电话、发短信、视频通话以及将手机切换到飞行模式等,甚至操作奥迪汽车的导航系统。
徐文渊及其团队发表的论文研究包括苹果、华为等品牌的手机、电脑、智能手表、智能音响等多达17 种不同种类型的设备,分析包括Siri、Alexa、Google Now等7种语音助手,并成功地实现了攻击。结果表明,“海豚音攻击”可以在用户完全不知情的情况下对受害者的智能设备进行任意恶意操作,受影响的智能设备种类众多、范围极广。
“语音助手能做的事情,‘海豚音攻击’都能做。”中国科学院信息工程研究所研究员朱红松在接受科技日报记者采访时表示,其攻击的影响范围取决于语音助手的功能。
中国科学院信息工程研究所正高级工程师孙德刚告诉科技日报记者,“海豚音攻击”可以理解成一种诉诸于听觉的传播媒介,如同人看不见听不到的电磁波一样,具有隐蔽性,它的“攻击性”也主要体现在隐蔽性这个特点上。
对于遭到“海豚音攻击”是否会带来手机支付方面的财产损失,孙德刚认为,手机或其它设备系统的安全性首先要经过身份认证,确认发出命令的人是“谁”才可以做出反应。此外,手机支付、手机银行等应用软件会采取多次认证和用户手动确认的方式核实用户身份,比如输入密码、输入手势或发送验证码确认。“目前语音助手暂时还没有能力介入到这个认证过程。”孙德刚说。
手机听得懂无声的“海豚音”
语音助手为什么能听懂无声的语音指令?
徐文渊告诉科技日报记者,一般人能听到的声音频率在2万赫兹(20kHz)以下,而大部分装有语音助手的设备可以接收到20kHz以上声音频率,其中有不少还能接收到40kHz以上的频率。这就是为什么海豚音攻击可以攻击语音助手的原因。
“‘海豚音攻击’是一个麦克风本身的硬件漏洞。”徐文渊解释,语音识别的第一步是麦克风,麦克风本应只记录人可以听见的声音,即20kHz以下的声音,但出于提高性能和减小体积的需要,麦克风必然跟最高频有响应,以至于也能接收到高于20kHz的声音。
这就给了“海豚音攻击”可乘之机。
徐文渊团队通过超声波播放器把语音信号调制加载到超声波信号,当其频率大于20kHz时,人耳无法听见,但手机的语音助手依然可以接收这样的命令。
“我们发射‘海豚音攻击’时,好似把玩具放到2米高台阶上,一般人看不到了。当麦克风接收声音的时候,语音识别系统自动把玩具从台阶上拿到地面上。”徐文渊说。
“麦克风输出端已经把超声波信号恢复成一般可听的指令。利用人工智能等技术进行语音和文本转换的语音识别系统就会认为,这是一个正常的语音指令。‘海豚音攻击’语令就和正常语音一样。”徐文渊说。
如何反攻“海豚音攻击”
有专家认为,抑制“海豚音攻击”有两种方法。一是让语音助手只听取特定人(手机拥有者)的语音,这需要在语音助手上运用声纹识别技术。对此,徐文渊说,声纹识别技术是利用每个人的音域、音高、发声方法的差别对发声者身份进行辨识。实验表明,“海豚音攻击”只是攻击麦克风,并不改变每个人的声音,因此,“海豚音攻击”可以绕过声纹识别技术。
