首页 > 工业设计SEO

2017/10/4 22:22:35 | 人气: ...

一个简单的设计缺陷让它非常容易躲过Siri和Alexa，中国研究人员发现苹果，谷歌，亚马逊，微软，三星和华为的语音助手都有一个可怕的漏洞。它影响每个运行Siri的iPhone和Macbook，任何Galaxy手机，任何运行Windows 10的PC，甚至亚马逊的Alexa助手。使用一种叫做DolphinAttack的技术  ，浙江大学的一个团队将典型的声带命令翻译成超声波频率，这些声音太高，无法听到人耳听到的声音，而是通过麦克风和软件为我们的永远在线的语音助手提供了完美的解码。这个相对简单的翻译过程使他们能够在几乎没有人听到的频率中发出几个字，来控制小工具。研究人员不仅仅是激活了“嘿Siri”或“Okay Google”等基本命令。他们也可以告诉iPhone“拨打1234567890”或者告诉iPad到FaceTime的号码。他们可能会强制Macbook或Nexus 7打开恶意网站。他们可以命令亚马逊回声“打开后门”（八月发言人澄清一下，也是需要一个针）。即使是奥迪Q3也可以将其导航系统重定向到新的位置。 研究小组在刚刚接受的 ACM会议计算机与通讯会议上写道：“听不清的语音指令质疑了通常的设计假设，即对手最多可以尝试操纵[语音助理]，并可由警报用户检测到。” 安全。换句话说，硅谷设计了人性化的UI，具有巨大的安全监督。虽然  我们  可能听不到坏人说话，但我们的电脑显然可以。 非营利性 SimplySecure的设计总监Ame Elliott说：“从UX的角度来看，感觉就像是背叛。“你如何与设备进行互动的前提是”告诉它该怎么办“，所以默默无闻的秘密指挥令人震惊。研究人员使用了一个智能手机，每个语音助手大约3美元，其中包括一个小型扬声器和放大器。在理论上，他们现在公开的方法可以由任何有技术诀窍的人重复，口袋里只有几块钱。在某些情况下，这些攻击只能在几英寸之外，尽管像Apple Watch这样的小工具在几英尺内很脆弱。在这个意义上，很难想象亚马逊回声被海豚攻击。想要“打开后门”的入侵者已经需要在您的家中，靠近您的回声。但是黑客iPhone似乎根本就没有问题。黑客几乎需要在人群中散步。他们会把他们的电话拿出来，按照你听不到的频率播放一个命令，你手里会有你自己的电话。所以也许你不会看到Safari或Chrome加载一个网站，该网站运行代码来安装  恶意软件，您的手机的内容和通信是开放季节，供他们探索。 研究人员在论文中解释说，这个漏洞利用了硬件和软件问题的结合。 为Siri，Alexa和Google Home提供语音助理的麦克风和软件可以吸收听不见的频率，特别是高于人耳的20KhZ极限的频率。（20kHz有多高？几年前就是病毒的蚊子铃声之上，这让允许没有听到他们的听力的年轻学生没有听到短信的朋友没有老师的听力。）据NewDealDesign的创始人兼Fitbit的产品设计师Gadi Amit说，这样的麦克风的设计使得它们难以从这种攻击中得到保护。 “麦克风的组件本身的类型有所不同，但大多数使用空气压力可能不会被超声波阻挡，”Amit解释说。基本上，当今最流行的麦克风将湍流的空气或声波转化成电波。阻止这些超级听觉能力可能是不可能的。
这意味着由软件来破译什么是人类语言，什么是机器语音。理论上说，苹果或谷歌只能命令他们的助手从不服从20kHz的人用数字音频滤波器的命令：“等等，这个人告诉我在声音范围内做什么，他们不可能说话！我不会听他们的！“但是根据浙江研究人员发现，每个主要的语音助理公司都表现出20kHz以上的命令的脆弱性。为什么世界的亚马逊和苹果会离开这样一个空洞，可能会被软件轻松插入？我们还不知道，虽然我们已经到苹果，谷歌，亚马逊，微软，三星和华为公司发表评论。但是至少有两个理论是完全合理的，而且都是让语音助手更加用户友好的。首先，语音助手实际上需要超声波才能听到人们的好感，与分析没有高频的声音相比。“ 请记住，语音分析软件可能需要您的声音中的每一点”提示“来创造其理解，”Amit滤除了我们的语音系统中的最高频率。“所以可能会有一个负面影响，降低整个系统的理解能力。”即使人们不需要超声波来听别人，也许我们的电脑依靠它们作为拐杖。 第二个是一些公司已经在利用超声波为自己的UX，包括电话到小工具的通信。最值得注意的是，亚马逊的Dash Button对手机频率为18kHz左右，Google的Chromecast也使用超声波配对。 对于最终用户来说，这种不可思议的配对创造出一种神奇的体验，消费者在现代电子时代期待着这样的体验（“它是如何工作的，谁在乎，这是魔术！”）。但是因为我们听不到这些机制的工作，所以我们也不知道他们什么时候出错了，还是被劫持。它们被设计为不可见的。相当于用无声引擎驾驶汽车。如果同步皮带断裂，您可能只有在汽车不可避免地停止并且发动机被破坏时才意识到。 用户友好性  越来越与安全性相抵触。我们的网页浏览器轻松无间地收集cookies，让营销人员能够在网路上关注我们。我们的手机将我们的照片和联系人备份到云端，吸引任何专注的黑客，拥有完整的私人信息库。就好像我们使用易于使用的技术进行的每一个默契都有一个隐藏的成本：我们自己的个人漏洞。这种新的语音命令利用只是设计引起的越来越多的安全漏洞中的最新情况，但也许是硅谷在面对新的和有光泽的情况下广泛无视安全的最佳例子。 “我认为硅谷在考虑产品如何被滥用方面有盲点。Elliott说，产品规划的一部分并不像现在那样强大。“语音系统显然难以确保。这应该提出质疑。。。很难理解系统的工作原理，有时是通过有意设计的。我认为需要努力解决语音的无缝性，并考虑增加系统运作的可见性。“现在，对于大多数DolphinAttack漏洞来说，这是一个比较容易的解决  方案。所有您需要做的是关闭Siri或Google Assistant在手机和平??板电脑上的永久设置，黑客将无法与您的手机通话（除非您在尝试谈话它也）。 同时，亚马逊Alexa和Google Home（家庭没有被研究人员测试，但在理论上也是一样脆弱），都有硬静音按钮，应该在大多数时间内做到这一点。 但是，这些解决方案当然是自毁的。如果我们可以安全地使用语音助手的唯一方法是确保他们不听，那么他们甚至还要服务什么？也许这些窃听电脑不属于我们生活中的第一位 - 或者至少不属于公共场合。我们已经到苹果，谷歌，亚马逊，微软，三星和华为，并会更新这个故事，如果我们听到回来。深圳工业设计公司，结构设计。