智能喇叭爆保安漏洞 激光入侵家居 百米外開鎖

By on November 7, 2019

原文刊於信報財經新聞「StartupBeat創科鬥室

即使黑客身處百米之外,亦可入侵智能家居系統,要求打開門鎖或網上購物。(YouTube影片擷圖)

即使黑客身處百米之外,亦可入侵智能家居系統,要求打開門鎖或網上購物。(YouTube影片擷圖)

現時流行的智能喇叭隨時潛伏保安漏洞,令不法之徒有機可乘。《紐約時報》報道,若智能喇叭配備微機電系統(MEMS)的麥克風,無論是Google Home、Amazon Echo、Facebook Portal,或內置Siri語音助理的蘋果iPhone手機,都可經激光從百米以外入侵。

日本電氣通信大學及美國密歇根大學的研究員經過7個月反覆試驗後發現,智能喇叭上的麥克風有一塊振動膜,除了被聲波衝擊時會震動,原來表面在激光照射下,亦會出現電子訊號反應,過程「神不知鬼不覺」。

黑客設備成本3100元

黑客利用這項光學特性,以電腦編譯語音指令(例如開門)後,再把激光訊號透過遠攝鏡頭,把能源聚焦在麥克風上,即可假扮屋主語音訊號輸入各種指令,包括:解開智能門鎖、啟動座駕、開關電燈,甚至網上購物等,遙距騎劫智能家居系統。

即使身處另一幢建築物,甚至隔着玻璃窗,只要裝置上的麥克風有空間被激光照射到,而又毋須輸入密碼,黑客即可攻破保安系統。研究更發現,即使以膠紙遮住裝置表面亦無法解決問題,相信大部分坊間麥克風都要重新設計才可以堵塞漏洞。

研究員把載有電子訊號的激光束射向智能喇叭的麥克風位置,並偽裝為語音指令,成功入侵系統。(YouTube影片畫面)

研究員把載有電子訊號的激光束射向智能喇叭的麥克風位置,並偽裝為語音指令,成功入侵系統。(YouTube影片畫面)

(YouTube影片擷圖)

(YouTube影片擷圖)

以訊號激光方式入侵,黑客不但可置身百米之外,而且入侵成本不貴。一支激光筆、一個激光驅動器,另加一個音頻功率放大器,總花費不到400美元(約3100港元)。研究員已把上述漏洞告知特斯拉、福特、亞馬遜、蘋果公司及谷歌跟進。

市場研究公司Canalys數據顯示,智能喇叭在全球熱賣,今年次季出貨量達2610萬台;美國亞馬遜登上榜首,次季出貨量為660萬台,市佔率為25.4%;屈居季軍的Google出貨量有430萬台。值得一提的是,亞馬遜旗下的Alexa Skills商店已收錄逾8萬個語音技能,供全球用戶下載。若開發員設計高質程式,更可獲得亞馬遜獎金,每個語音技能所得資助每月最高達5000美元(約3.9萬港元)。

亞馬遜籲設語音密碼

亞馬遜發言人回應報道稱,現有語音助理用戶可採取簡單的安全措施,除了設定語音密碼,亦可使用靜音按鈕,中斷麥克風電源;甚至把智能喇叭放在室外看不見的地方,並停用任何敏感功能,降低黑客入侵的損失。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們