最近，蘭開斯特大學(xué)的一組研究人員在arXiv上發(fā)表了一篇論文，演示了他們?nèi)绾卫弥悄苁謾C(jī)的麥克風(fēng)與揚(yáng)聲器系統(tǒng)竊取設(shè)備的解密信息。

盡管人們短期內(nèi)還無需為此類攻擊感到擔(dān)憂，但研究人員們確實(shí)證明這種攻擊的安全隱患。根據(jù)研究人員介紹，這種“SonarSnoop”攻擊能夠?qū)⒐粽叩慕怄i操作次數(shù)減少70%，在人們不知情的條件下執(zhí)行黑客入侵。

在信息安全領(lǐng)域，“旁道攻擊（side-channel attack）”是指一種黑客行為，其無需利用目標(biāo)程序中的安全缺陷、亦不必直接訪問目標(biāo)信息。以SonarSnoop為例，黑客希望獲得的實(shí)際是目標(biāo)手機(jī)的解鎖密碼，但不同于直接對(duì)密碼內(nèi)容進(jìn)行暴力破解，或者直接窺視受害者的密碼信息，SonarSnoop會(huì)利用其它可能導(dǎo)致密碼泄露的輔助信息——即在設(shè)備上輸入密碼時(shí)產(chǎn)生的獨(dú)特聲音。

也就是說，SonarSnoop適用于任何能夠與麥克風(fēng)及揚(yáng)聲器交互的環(huán)境。

聲學(xué)旁道攻擊已經(jīng)在PC以及其它多種聯(lián)網(wǎng)設(shè)備當(dāng)中得到廣泛應(yīng)用。舉例來說，研究人員可以通過竊聽硬盤風(fēng)扇的聲音隔空從計(jì)算機(jī)中恢復(fù)數(shù)據(jù)內(nèi)容。他們還能夠通過聯(lián)網(wǎng)打印機(jī)的聲響確定打印在紙上的內(nèi)容，或者根據(jù)3D打印機(jī)的聲音重建打印的3D對(duì)象。多數(shù)情況下，這些都屬于被動(dòng)型旁道攻擊，意味著攻擊者只是在聆聽設(shè)備運(yùn)行時(shí)自然產(chǎn)生的聲音。

但此次SonarSnoop案例之所以如此重要，是因?yàn)?strong>研究人員第一次成功在移動(dòng)設(shè)備上演示了有源聲學(xué)旁道攻擊——即對(duì)用戶主動(dòng)操作設(shè)備時(shí)發(fā)出的聲音進(jìn)行利用。

當(dāng)用戶們無意在自己的手機(jī)上安裝惡意應(yīng)用程序時(shí)，攻擊就已經(jīng)開始了。在用戶下載受感染的應(yīng)用程序后，他們的手機(jī)會(huì)開始廣播聲音信號(hào)，而該信號(hào)恰好高于人類的聽覺范圍。聲音信號(hào)會(huì)在手機(jī)周邊的各個(gè)物體上進(jìn)行反射，并產(chǎn)生回聲。此后，手機(jī)上的麥克風(fēng)會(huì)對(duì)回聲進(jìn)行記錄。

通過計(jì)算聲音反射以及回聲與聲源間的返回時(shí)差，即可確定物體在給定空間中的位置以及該物體是否進(jìn)行了移動(dòng)——這就是聲納（sonar）的原理。同樣，通過分析由設(shè)備麥克風(fēng)錄制的回聲，研究人員即可利用聲納原理追蹤用戶手指在智能手機(jī)屏幕上的移動(dòng)軌跡。

在Android手機(jī)上廣泛部署的3 x 3連線解鎖機(jī)制擁有近40萬種可能的模式，但此前的研究表明，20%的用戶只會(huì)使用12種常見組合中的一種。在測(cè)試SonarSnoop時(shí)，研究人員也僅專注這十余種解鎖組合。

圖：12種最為常見的滑動(dòng)解鎖模式

為了測(cè)試聲納攻擊的能力，研究人員選擇了三星Galaxy S4手機(jī)——一部于2013年首發(fā)布的Android手機(jī)。雖然這種攻擊在理論上適用于任何手機(jī)型號(hào)，但由于旋轉(zhuǎn)的位置不同，信號(hào)分析工作必須根據(jù)特定手機(jī)型號(hào)對(duì)揚(yáng)聲器及麥克風(fēng)位置進(jìn)行調(diào)整。蘭開斯特大學(xué)博士生Peng Cheng在接受郵件采訪時(shí)表示，“我們預(yù)計(jì)iPhone也同樣會(huì)受到攻擊，但我們目前只測(cè)試了針對(duì)Android機(jī)型的攻擊能力。”

此次研究招募到10名志愿者，他們的任務(wù)是在自定義應(yīng)用程序當(dāng)中繪制12種模式中的5種。而后，研究人員嘗試?yán)枚喾N聲納分析技術(shù)根據(jù)手機(jī)發(fā)出的聲學(xué)特征進(jìn)行密碼重建。目前，最佳分析技術(shù)能夠在12種常見組合中平均嘗試3.6次即找到正確的解鎖模式。

雖然SonarSnoop攻擊還稱不上完美，但其已經(jīng)能夠?qū)⒈匾獓L試次數(shù)減少達(dá)70%。研究人員們寫道，未來，他們希望通過進(jìn)一步縮短聲納脈沖的時(shí)間間隔以及探索更多不同信號(hào)分析策略的方式，改善其判斷準(zhǔn)確度。

為了防止這類攻擊被實(shí)際應(yīng)用，研究人員建議手機(jī)制造商在設(shè)備設(shè)計(jì)階段將問題考慮進(jìn)來。最好的預(yù)防方法是將設(shè)備揚(yáng)聲器的聲學(xué)范圍限制為人類能夠聽到的波長(zhǎng)區(qū)間，或者允許用戶在其設(shè)備上使用敏感信息時(shí)選擇性地關(guān)閉聲音系統(tǒng)。當(dāng)然，繼續(xù)改進(jìn)對(duì)惡意應(yīng)用程序下載活動(dòng)的抵御能力也是種不錯(cuò)的辦法。

隨著指紋解鎖等生物特征驗(yàn)證機(jī)制在移動(dòng)設(shè)備上的快速普及，這類攻擊對(duì)于解鎖手機(jī)設(shè)備的效用將顯著降低。但也正如研究人員們所指出，類似的技術(shù)亦可用于收集通過手機(jī)觸控屏收集到的其它敏感信息，例如網(wǎng)頁密碼甚至是Tinder等約會(huì)應(yīng)用中的滑動(dòng)模式信息。

蘭開斯特大學(xué)安全研究員Jeff Yan在郵件采訪中告訴我們，“盡管我們的實(shí)驗(yàn)僅試圖竊取Android解鎖信息，但SonarSnoop實(shí)際上適用于可與麥克風(fēng)及揚(yáng)聲器交互的任何環(huán)境。我們的下一項(xiàng)重要課題，在于如何讓成果真正創(chuàng)造價(jià)值。我們希望設(shè)備制造商對(duì)我們的攻擊活動(dòng)抱有平和的心態(tài)，因?yàn)槲覀兊哪繕?biāo)是通過幫助計(jì)算機(jī)工程師妥善解決下一代設(shè)備中的安全威脅以提升安全水平。”

【注：蘭開斯特大學(xué)關(guān)于“黑客破解手機(jī)”的研究論文下載方式：關(guān)注科技行者微信公眾號(hào)（itechwalker）回復(fù)“黑客破解手機(jī)”，即可獲取?！?/span>