一束激光假充人声110米外黑掉智能音箱手机电脑平板也中招

编者按：本文来自微信大众号“量子位”（ID：QbitAI），作者郭一璞、光栗子，36氪经授权发布。

周末的下午，你正在家里打游戏，不曾注意到身旁的智能音箱上，多出了一个小绿点。

那是一束激光，来自窗外马路对面的另一栋修建。

忽然，房间的灯开了。

空调、空气净化器、扫地机器人启动了，手机收到了电子商务平台的扣款提示，乃至你外面的车库门也已然洞开……

而你的手机和平板电脑也忽然开端发疯，张狂的下载删去不同的运用，播映古怪的视频和音乐，给交际软件上的老友发古怪的信息……

究竟发生了什么？是谁，不知不觉侵入了你的日子？

其实，这是来自日本电气通讯大学和美国密歇根大学科学家的一项新发现：

当激光打在装有语音帮手的设备上，就能够假充人类的语音，被麦克风转换成电信号，悄然无声的宣布指令，操控相连的设备。

因而，那些和Google Assistant、亚马逊Alexa、苹果Siri相连的机器，不管是智能的灯具、门锁、电器这些硬件设备，仍是各种电商、付出、交际App，都会不知不觉间被操控。

尽管科学家们还没有在其他品牌的语音帮手上测验，不过量子位采访到了腾讯安全团队Tencent Blade Team，他们说：从原理上讲问题大都是相通的。

不需求太强的激光，一般激光笔的强度就能够，就算间隔有110米远，就算在外面的另一栋修建里，就算要穿过玻璃窗，都能够操控你家里的智能音箱、手机和平板们。

恐惧的演示进程

来看看科学家们的实地演示。

将指令Google Assistant翻开车库门的句子“OK Google, open the garage door”的嵌入激光中，打在智能音箱的麦克风上。

智能音箱回了一句“OK, opening”，接着车库门就开了。

那么假如把间隔设置的非常远呢？

在第二段演示中，激光发射器和智能音箱的间隔长达110米。

科学家们将问询时刻的句子“OK Google, what time is it?”的嵌入激光中，打在智能音箱的麦克风上。

“It’s 9:43”在没有一点人发话问询的情况下，智能音箱自己忽然说了一个时刻。

即便在窗外的另一栋修建里，也不影响激光对智能音箱的操控。

在第三段演示中，科学家们将激光源挪到了远处的一栋高高的修建上，隔着玻璃窗发射激光，将指令Google Assistant翻开车库门的句子“OK Google, open the garage door”的嵌入激光中，打在窗口智能音箱的麦克风上。

由于这次发射点又高又远，所以科学家们爽性给激光配了一个长焦镜头。

智能音箱仍是顺畅的回复“OK, opening”，翻开了车库的门。

但是演示的视频中并没有“鬼故事现场”的感觉，一个原因是激光可见，另一个原因是语音帮手的声响你能够听到。

因而，科学家们也尝试了人类肉眼看不见的红外光，在比较近的间隔是能够更好的起到效果的；

至于，语音帮手回话会被主人听见，先用激光发个指令把音量调零，就真的悄然无声操控全部了。

看到这儿你或许疑问，激光怎么能假充人声？

让麦克风听成人声

故事是从上一年春天开端。

来自日本的菅原健，是个研讨网络安全问题的科学家。他特地跑去美国，给密歇根大学的同行傅佳伟 (Kevin Fu) 教授，秀了一波自己刚刚解锁的技能：

把一束高强度的激光，对准iPad的麦克风，然后用每秒震动大约1000次的正弦波，不停地调整激光的强度。

傅佳伟在一旁带着耳机，听麦克风收到了什么。让人惊奇的是，他听到了一种高频腔调。

分明是接纳声波的设备，却把光波当成声波接纳了，这是MEMS麦克风的一个重要缺点。而大部分手机和智能音箱，都是运用MEMS麦克风，因而。

自从有了这个奇特的发现，菅原君就开端和傅佳伟的实验室一同，用激光去诈骗智能音箱，进犯各种接纳语音指令的设备。

科学家说，只需用一种特定的频率去调整激光的强度，激光便会用相同的频率去搅扰麦克风，让麦克风把光波解调成电信号。

就像下面这张图，上为激光发射的信号，下为麦克风接纳的信号，频率简直共同：

不必指定发射方位，只需对准麦克风射出激光，麦克风就把光线转换成电信号了，像日常把声波转换成电信号相同。

当然，假如仅仅随意的电信号，并不足以让音箱乖乖听你的话。有必要让它以为是有人类宣布语音才行。

所以，研讨人员还要对激光做调幅(AM) ，让麦克风转出挨近人类语音的信号。

就像最初展现的那样，他们选定了一系列指令，包含：“现在几点了”“把音量调零”“买一支激光笔”“翻开车库门”等等。

然后，用这些词句的语音波形，来定制激光的强度改变。

这样，智能音箱收到的电信号，就会和听到人声的时分差不多了。

一开端，他们用60毫瓦的激光，测验了16台不同的智能音箱。

成果，50米是成功接纳的最远间隔。

进犯手机，就略微困难一些了：iPhone需求10米以内，安卓手机需求5米以内。

后来，科学家们又想测验一下，这项技能的极限在哪里。所以，把激光强度调低到了5毫瓦，相当于一支廉价激光笔的水平，把间隔拉远到110米。

尽管，许多音箱都没有呼应，但Google Home和初代Echo Plus仍旧中了招，便是最初看到的那样。

进一步加大难度，隔着窗户发射激光，76米间隔。这次没骗到一只Echo，但Google Home仍然被骗了，可谓硕果仅存：

至于，麦克风为什么对光波也有反响，哈佛大学电气工程系的退休教授Paul Horowitz说，至少有两种物理机制，能够让麦克风把激光误解成声波。

一是激光的脉冲会加热麦克风的振膜，令周围的空气胀大，发生一种压力。声响也是依托发生声压，才被麦克风捕捉到的。

二是，假如被进犯的设备，不是完全不透光的话，光线其实能够直接穿过麦克风，直接抵达芯片的地点，这样就能把光波的振荡，翻译成电信号了。

这或许跟太阳能板里的二极管，还有光纤电缆结尾的光电效应，原理相同。假如真是这样，想让激光被作为语音指令，就更简单了。

别的，量子位还采访到了腾讯的安全团队Tencent Blade Team，他们的了解是：

这项研讨和此前业界的 “海豚音进犯”有异曲同工之妙，都是使用了麦克风的一些特别的硬件特性进行进犯，但这次的“光进犯”能够从更远间隔（超越100米）主张，在实在的日子中的进犯使用难度更低。

进犯的难度下降，防护的难度提高。Blade团队以为，这项研讨的含义非常严重：

从现在揭露的信息来看，厂商很难从软件层面临这个缝隙进行完全修正，之前安全圈内也没有MEMS麦克风会将光信号转换为电信号相关的安全研讨，这项研讨仍是具有很高的立异性与实战含义。

怎样才干不被黑？

看到这样的进犯效果，谷歌和亚马逊很快就回应了：

谷歌说，已经在仔细观察这次的研讨成果，而且着重一直对维护用户、提高设备的安全功能非常重视。

亚马逊也宣布了声明说，正在看论文，后边将会和作者们沟通，更深化地了解这项研讨。

在厂商们给出补救措施之前，研讨人员先为他们供给了一些友善的主张：

比方，能够设置让用户先输入语音暗码，解锁后才干发布指令。

比方，能够在麦克风周围加上光屏蔽，抵御激光的进犯。

再比方，在音箱两边依托两个麦克风一起接纳指令，然后比照。由于两个麦克风，很难一起被击中。

当然，对产品做出这样的晋级，还需求不少时刻。

而你现在能做的便是，不要把智能音箱放在黑客能看到的当地。

否则，仍是去用那些需求解锁的设备吧，人脸解锁和指纹解锁都能起到维护效果，防止语音帮手接纳到黑客的指令。

腾讯Blade Team还提示，最好封闭声纹识别(由于声纹也能够用激光假充) ，也能够在设备外部的麦克风口贴上黑色标签纸，阻挠激光进犯。

作者们

一作菅原健，便是从日本跑到美国炫 (mian) 技 (ji) 的那一位，电子通讯大学 (UBE) 的准教授。

傅佳伟 (Kevin Fu) ，密歇根大学的教授，专心进犯各种AI。量子位之前报导过一种把硬盘改形成窃听器的办法，也是他参加的研讨。难怪，菅原君会不远万里去找他。

Daniel Genkin，密歇根大学助理教授。他和傅佳伟都是这项研讨的负责人。

别的，还有两位作者，他们是傅佳伟教授实验室的成员，Benjamin Cyr以及Sara Rampazzi。

传送门

论文

Light Commands: Laser-based Audio Injection Attacks on Voice-Controllable Systems

Takeshi Sugawara, Benjamin Cyr, Sara Rampazzi, Daniel Genkin, Kevin Fu

https://lightcommands.com/20191104-Light-Commands.pdf

主页

https://lightcommands.com/

参阅链接

https:///story/lasers-hack-amazon-echo-google-home/

https:///2019/11/04/technology/digital-assistant-laser-hack.html