图:一位用户正在使用苹果手机的Siri语音控制功能。
Siri其实隐藏了安全隐患?
作为苹果为iOS设备用户开发的声控个人语音助手,Siri可能会被恶意软件利用,窃取iOS设备中用户的敏感信息。
近日,欧洲计算机科学家在IEEE Computer杂志上发表文章称,iPhone 5系列智能手机存在安全漏洞,恶意软件可以利用这个安全漏洞窃取用户的个人隐私信息。研究结果表明,Siri语音控制功能存在可能被利用的安全漏洞。
这个安全漏洞利用了“信息隐藏方法”的原理,通过在数字文件中隐藏恶意代码来实现。事实上,这与加密有关,加密将恶意代码隐藏在其他文件中并将其发送出去。传统上,恶意代码嵌入在数字图片文件中。目前,一些计算机科学家声称发现了许多其他隐藏恶意信息的方法,如Skype通话网络协议、谷歌搜索引擎、BT种子甚至Wi-Fi网络。
华沙理工大学计算机科学专家、Siri信息隐藏技术投资人Wojciech Mazurczyk表示,“就计算机系统中的信息隐藏而言,将秘密数据打包到容器中,使人们无法发现容器已经被修改,这一点非常重要。看起来像正常的网络流量。”。
“每个不同的服务都与一个或多个协议相关联,每个服务都可能被信息隐藏所使用”——华沙理工大学Wojciech mazur。
由于手机上存储着海量的个人隐私信息,智能手机成为“信息隐藏”攻击的最佳目标,恶意软件越来越青睐智能手机。需要指出的是,对于需要向云服务器传输数据的应用,比如Siri,“信息隐藏”攻击的威胁更大。
为了验证上述说法,来自意大利国家研究委员会的Wojciech和他的同事Luca Caviglione决定对其进行测试,并计划对iPhone或iPad进行模拟“信息隐藏”攻击,他们称之为iStegSiri。Wojciech表示,由于安全社区没有相应的对策来应对“信息隐藏”攻击,模拟攻击是为了引起安全社区的重视。
Wojciech说,“在移动通信网络中实施信息隐藏攻击非常困难。在这种网络状态下,有许多不同类型的网络流量和不同类型的协议。每个不同的服务都与一个或多个协议相关联,每个服务都可能被信息隐藏所使用。”
在iPhone端,Siri首先将用户输出的语音转换成数字音频录制数据包,然后将这些数据包上传到远程Apple Cloud服务器。最后,通过相应的转换,音频以文本的形式反馈给用户。IStegSiri首先会将隐藏的信息(类似于用户手机上某些恶意软件偷偷收集的数据)转换成语音和静音交替的音频序列。因为它高度模仿了正常用户语音输入的音频交替规律,所以Siri会把这个修改后的录音当作用户通过麦克风输出的语音,然后将隐藏的信息发送到Apple Cloud服务器,这样第三方(用户和苹果都不知道)就可以检测到用户的音频流量。
秘密信息标记音频数据。在模拟攻击测试中,研究人员使用这种方法以每秒0.5字节的速度提取音频数据。这样,向攻击者发送一个16位的银行卡号只需要2分钟左右。
研究人员承认,这种攻击方法也有很多局限性。首先,在目前的迭代算法下,iStegSiri需要深度访问Siri才能有效,因此越狱的iOS设备将面临巨大威胁。此外,iStegSiri需要访问Siri发送到苹果云服务器的网络流量。
为了避免被网络犯罪分子利用,研究人员没有透露iStegSiri的具体技术细节。iStegSiri模拟攻击实验的目的是引起安全界对基于语音的应用程序的安全漏洞的关注。研究人员认为,针对这优艾设计网_平面设计类安全漏洞的最佳解决方案是在服务器端部署安全策略,例如,一旦发现与正常语音特征不同的可疑音频数据,将立即切断与iOS设备的所有网络连接。
加载中,请稍侯......
精彩评论