10月31日至11月4日,被稱為網絡安全領域頂級學術會議的ACM CCS (Conference on Computer and Communications Security) 2017在美國達拉斯召開。浙江大學電氣工程學院智能系統安全實驗室徐文淵教授團隊的論文DolphinAttack: Inaudible Voice Commands(海豚音攻擊:聽不見的聲音指令)被評為5篇最佳論文之一。這是來自中國高校的論文首次獲選最佳論文。
ACM CCS,與IEEE S&P、Usenix Security和NDSS並稱計算機安全領域「四大安全頂級會議」(簡稱四大),每年都有來自國內外頂級高校以及研究機構的眾多研究人員投稿和參會。據主辦方介紹,本次會議共接收到來自全世界高校和實驗室的846篇論文,經過三輪篩選,錄用151篇,並選出11篇論文候選最佳論文。最終,徐文淵團隊的論文獲最佳論文獎(Best Paper Award)。
在這篇論文中,徐文淵團隊在世界上率先指出了目前普遍存在於智能設備中的麥克風的一個硬體漏洞,利用這個漏洞,黑客可以「黑」進智能設備的語音助手系統,讓語音助手接收並執行超聲波指令。這項發現在多個智能設備中得到驗證。
DolphinAttack也稱為「海豚音攻擊」,可以通過無聲的語音指令控制語音助手執行相應的操作,例如: 無聲地開啟語音助手、撥打任意電話、發簡訊、視頻通話,以及將手機切換到飛行模式等,甚至操作奧迪汽車的導航系統。論文研究分析了多達17種不同類型的設備,包括Apple、Google、亞馬遜、阿里巴巴、三星、華為等品牌的手機、平板和筆記本電腦、智能手錶、智能音響,分析了7種語音助手,包括Siri、Alexa、Google Now、Cortana、S Voice,HiVoice、天貓精靈,並成功地實現了攻擊。「海豚音攻擊」可以在用戶完全不知情的情況下對用戶的智能設備進行任意惡意操作,受影響的智能設備種類眾多、範圍極廣。
為了儘快解決安全隱患,實驗室研究人員已經將存在的隱患以及相應的解決方案告知了包括谷歌、蘋果、微軟、亞馬遜、三星和華為在內的生產廠商,收到了他們的積極回復和後續的深度合作邀請。
浙江大學電氣學院系統安全實驗室(USSLAB)依託於浙江大學電氣工程學院在電氣、電子和電網方面的基礎平臺,充分發揮電氣和計算機、硬體和軟體相交叉的研究思路,在包括物聯網、嵌入式系統、智能電網安全等領域開展了深度的研究,並取得了優秀的成果。
(張國明 朱原之)
來源:浙江大學