黑客如何利用聲納原理破解智能手機(jī)？

　　最近，蘭開(kāi)斯特大學(xué)的一組研究人員在arXiv上發(fā)表了一篇論文，演示了他們?nèi)绾卫?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/智能手機(jī)">智能手機(jī)的麥克風(fēng)與揚(yáng)聲器系統(tǒng)竊取設(shè)備的解密信息。

　　盡管人們短期內(nèi)還無(wú)需為此類攻擊感到擔(dān)憂，但研究人員們確實(shí)證明這種攻擊的安全隱患。根據(jù)研究人員介紹，這種“SonarSnoop”攻擊能夠?qū)⒐粽叩慕怄i操作次數(shù)減少70%，在人們不知情的條件下執(zhí)行黑客入侵。

　　在信息安全領(lǐng)域，“旁道攻擊(side-channel attack)”是指一種黑客行為，其無(wú)需利用目標(biāo)程序中的安全缺陷、亦不必直接訪問(wèn)目標(biāo)信息。以SonarSnoop為例，黑客希望獲得的實(shí)際是目標(biāo)手機(jī)的解鎖密碼，但不同于直接對(duì)密碼內(nèi)容進(jìn)行暴力破解，或者直接窺視受害者的密碼信息，SonarSnoop會(huì)利用其它可能導(dǎo)致密碼泄露的輔助信息——即在設(shè)備上輸入密碼時(shí)產(chǎn)生的獨(dú)特聲音。

　　也就是說(shuō)，SonarSnoop適用于任何能夠與麥克風(fēng)及揚(yáng)聲器交互的環(huán)境。

　　聲學(xué)旁道攻擊已經(jīng)在PC以及其它多種聯(lián)網(wǎng)設(shè)備當(dāng)中得到廣泛應(yīng)用。舉例來(lái)說(shuō)，研究人員可以通過(guò)竊聽(tīng)硬盤風(fēng)扇的聲音隔空從計(jì)算機(jī)中恢復(fù)數(shù)據(jù)內(nèi)容。他們還能夠通過(guò)聯(lián)網(wǎng)打印機(jī)的聲響確定打印在紙上的內(nèi)容，或者根據(jù)3D打印機(jī)的聲音重建打印的3D對(duì)象。多數(shù)情況下，這些都屬于被動(dòng)型旁道攻擊，意味著攻擊者只是在聆聽(tīng)設(shè)備運(yùn)行時(shí)自然產(chǎn)生的聲音。

　　但此次SonarSnoop案例之所以如此重要，是因?yàn)檠芯咳藛T第一次成功在移動(dòng)設(shè)備上演示了有源聲學(xué)旁道攻擊——即對(duì)用戶主動(dòng)操作設(shè)備時(shí)發(fā)出的聲音進(jìn)行利用。

　　當(dāng)用戶們無(wú)意在自己的手機(jī)上安裝惡意應(yīng)用程序時(shí)，攻擊就已經(jīng)開(kāi)始了。在用戶下載受感染的應(yīng)用程序后，他們的手機(jī)會(huì)開(kāi)始廣播聲音信號(hào)，而該信號(hào)恰好高于人類的聽(tīng)覺(jué)范圍。聲音信號(hào)會(huì)在手機(jī)周邊的各個(gè)物體上進(jìn)行反射，并產(chǎn)生回聲。此后，手機(jī)上的麥克風(fēng)會(huì)對(duì)回聲進(jìn)行記錄。

　　通過(guò)計(jì)算聲音反射以及回聲與聲源間的返回時(shí)差，即可確定物體在給定空間中的位置以及該物體是否進(jìn)行了移動(dòng)——這就是聲納(sonar)的原理。同樣，通過(guò)分析由設(shè)備麥克風(fēng)錄制的回聲，研究人員即可利用聲納原理追蹤用戶手指在智能手機(jī)屏幕上的移動(dòng)軌跡。

　　在Android手機(jī)上廣泛部署的3 x 3連線解鎖機(jī)制擁有近40萬(wàn)種可能的模式，但此前的研究表明，20%的用戶只會(huì)使用12種常見(jiàn)組合中的一種。在測(cè)試SonarSnoop時(shí)，研究人員也僅專注這十余種解鎖組合。

圖：12種最為常見(jiàn)的滑動(dòng)解鎖模式

　　為了測(cè)試聲納攻擊的能力，研究人員選擇了三星Galaxy S4手機(jī)——一部于2013年首發(fā)布的Android手機(jī)。雖然這種攻擊在理論上適用于任何手機(jī)型號(hào)，但由于旋轉(zhuǎn)的位置不同，信號(hào)分析工作必須根據(jù)特定手機(jī)型號(hào)對(duì)揚(yáng)聲器及麥克風(fēng)位置進(jìn)行調(diào)整。蘭開(kāi)斯特大學(xué)博士生Peng Cheng在接受郵件采訪時(shí)表示，“我們預(yù)計(jì)iPhone也同樣會(huì)受到攻擊，但我們目前只測(cè)試了針對(duì)Android機(jī)型的攻擊能力?！?/p>

　　此次研究招募到10名志愿者，他們的任務(wù)是在自定義應(yīng)用程序當(dāng)中繪制12種模式中的5種。而后，研究人員嘗試?yán)枚喾N聲納分析技術(shù)根據(jù)手機(jī)發(fā)出的聲學(xué)特征進(jìn)行密碼重建。目前，最佳分析技術(shù)能夠在12種常見(jiàn)組合中平均嘗試3.6次即找到正確的解鎖模式。

　　雖然SonarSnoop攻擊還稱不上完美，但其已經(jīng)能夠?qū)⒈匾獓L試次數(shù)減少達(dá)70%。研究人員們寫道，未來(lái)，他們希望通過(guò)進(jìn)一步縮短聲納脈沖的時(shí)間間隔以及探索更多不同信號(hào)分析策略的方式，改善其判斷準(zhǔn)確度。

　　為了防止這類攻擊被實(shí)際應(yīng)用，研究人員建議手機(jī)制造商在設(shè)備設(shè)計(jì)階段將問(wèn)題考慮進(jìn)來(lái)。最好的預(yù)防方法是將設(shè)備揚(yáng)聲器的聲學(xué)范圍限制為人類能夠聽(tīng)到的波長(zhǎng)區(qū)間，或者允許用戶在其設(shè)備上使用敏感信息時(shí)選擇性地關(guān)閉聲音系統(tǒng)。當(dāng)然，繼續(xù)改進(jìn)對(duì)惡意應(yīng)用程序下載活動(dòng)的抵御能力也是種不錯(cuò)的辦法。

　　隨著指紋解鎖等生物特征驗(yàn)證機(jī)制在移動(dòng)設(shè)備上的快速普及，這類攻擊對(duì)于解鎖手機(jī)設(shè)備的效用將顯著降低。但也正如研究人員們所指出，類似的技術(shù)亦可用于收集通過(guò)手機(jī)觸控屏收集到的其它敏感信息，例如網(wǎng)頁(yè)密碼甚至是Tinder等約會(huì)應(yīng)用中的滑動(dòng)模式信息。

　　蘭開(kāi)斯特大學(xué)安全研究員Jeff Yan在郵件采訪中告訴我們，“盡管我們的實(shí)驗(yàn)僅試圖竊取Android解鎖信息，但SonarSnoop實(shí)際上適用于可與麥克風(fēng)及揚(yáng)聲器交互的任何環(huán)境。我們的下一項(xiàng)重要課題，在于如何讓成果真正創(chuàng)造價(jià)值。我們希望設(shè)備制造商對(duì)我們的攻擊活動(dòng)抱有平和的心態(tài)，因?yàn)槲覀兊哪繕?biāo)是通過(guò)幫助計(jì)算機(jī)工程師妥善解決下一代設(shè)備中的安全威脅以提升安全水平?！?/p>