黑客如何利用聲納原理破解智能手機(jī)？

　　最近，蘭開斯特大學(xué)的一組研究人員在arXiv上發(fā)表了一篇論文，演示了他們?nèi)绾卫?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/智能手機(jī)">智能手機(jī)的麥克風(fēng)與揚聲器系統(tǒng)竊取設(shè)備的解密信息。

　　盡管人們短期內(nèi)還無需為此類攻擊感到擔(dān)憂，但研究人員們確實證明這種攻擊的安全隱患。根據(jù)研究人員介紹，這種“SonarSnoop”攻擊能夠?qū)⒐粽叩慕怄i操作次數(shù)減少70%，在人們不知情的條件下執(zhí)行黑客入侵。

　　在信息安全領(lǐng)域，“旁道攻擊(side-channel attack)”是指一種黑客行為，其無需利用目標(biāo)程序中的安全缺陷、亦不必直接訪問目標(biāo)信息。以SonarSnoop為例，黑客希望獲得的實際是目標(biāo)手機(jī)的解鎖密碼，但不同于直接對密碼內(nèi)容進(jìn)行暴力破解，或者直接窺視受害者的密碼信息，SonarSnoop會利用其它可能導(dǎo)致密碼泄露的輔助信息——即在設(shè)備上輸入密碼時產(chǎn)生的獨特聲音。

　　也就是說，SonarSnoop適用于任何能夠與麥克風(fēng)及揚聲器交互的環(huán)境。

　　聲學(xué)旁道攻擊已經(jīng)在PC以及其它多種聯(lián)網(wǎng)設(shè)備當(dāng)中得到廣泛應(yīng)用。舉例來說，研究人員可以通過竊聽硬盤風(fēng)扇的聲音隔空從計算機(jī)中恢復(fù)數(shù)據(jù)內(nèi)容。他們還能夠通過聯(lián)網(wǎng)打印機(jī)的聲響確定打印在紙上的內(nèi)容，或者根據(jù)3D打印機(jī)的聲音重建打印的3D對象。多數(shù)情況下，這些都屬于被動型旁道攻擊，意味著攻擊者只是在聆聽設(shè)備運行時自然產(chǎn)生的聲音。

　　但此次SonarSnoop案例之所以如此重要，是因為研究人員第一次成功在移動設(shè)備上演示了有源聲學(xué)旁道攻擊——即對用戶主動操作設(shè)備時發(fā)出的聲音進(jìn)行利用。

　　當(dāng)用戶們無意在自己的手機(jī)上安裝惡意應(yīng)用程序時，攻擊就已經(jīng)開始了。在用戶下載受感染的應(yīng)用程序后，他們的手機(jī)會開始廣播聲音信號，而該信號恰好高于人類的聽覺范圍。聲音信號會在手機(jī)周邊的各個物體上進(jìn)行反射，并產(chǎn)生回聲。此后，手機(jī)上的麥克風(fēng)會對回聲進(jìn)行記錄。

　　通過計算聲音反射以及回聲與聲源間的返回時差，即可確定物體在給定空間中的位置以及該物體是否進(jìn)行了移動——這就是聲納(sonar)的原理。同樣，通過分析由設(shè)備麥克風(fēng)錄制的回聲，研究人員即可利用聲納原理追蹤用戶手指在智能手機(jī)屏幕上的移動軌跡。

　　在Android手機(jī)上廣泛部署的3 x 3連線解鎖機(jī)制擁有近40萬種可能的模式，但此前的研究表明，20%的用戶只會使用12種常見組合中的一種。在測試SonarSnoop時，研究人員也僅專注這十余種解鎖組合。

圖：12種最為常見的滑動解鎖模式

　　為了測試聲納攻擊的能力，研究人員選擇了三星Galaxy S4手機(jī)——一部于2013年首發(fā)布的Android手機(jī)。雖然這種攻擊在理論上適用于任何手機(jī)型號，但由于旋轉(zhuǎn)的位置不同，信號分析工作必須根據(jù)特定手機(jī)型號對揚聲器及麥克風(fēng)位置進(jìn)行調(diào)整。蘭開斯特大學(xué)博士生Peng Cheng在接受郵件采訪時表示，“我們預(yù)計iPhone也同樣會受到攻擊，但我們目前只測試了針對Android機(jī)型的攻擊能力?！?/p>

　　此次研究招募到10名志愿者，他們的任務(wù)是在自定義應(yīng)用程序當(dāng)中繪制12種模式中的5種。而后，研究人員嘗試?yán)枚喾N聲納分析技術(shù)根據(jù)手機(jī)發(fā)出的聲學(xué)特征進(jìn)行密碼重建。目前，最佳分析技術(shù)能夠在12種常見組合中平均嘗試3.6次即找到正確的解鎖模式。

　　雖然SonarSnoop攻擊還稱不上完美，但其已經(jīng)能夠?qū)⒈匾獓L試次數(shù)減少達(dá)70%。研究人員們寫道，未來，他們希望通過進(jìn)一步縮短聲納脈沖的時間間隔以及探索更多不同信號分析策略的方式，改善其判斷準(zhǔn)確度。

　　為了防止這類攻擊被實際應(yīng)用，研究人員建議手機(jī)制造商在設(shè)備設(shè)計階段將問題考慮進(jìn)來。最好的預(yù)防方法是將設(shè)備揚聲器的聲學(xué)范圍限制為人類能夠聽到的波長區(qū)間，或者允許用戶在其設(shè)備上使用敏感信息時選擇性地關(guān)閉聲音系統(tǒng)。當(dāng)然，繼續(xù)改進(jìn)對惡意應(yīng)用程序下載活動的抵御能力也是種不錯的辦法。

　　隨著指紋解鎖等生物特征驗證機(jī)制在移動設(shè)備上的快速普及，這類攻擊對于解鎖手機(jī)設(shè)備的效用將顯著降低。但也正如研究人員們所指出，類似的技術(shù)亦可用于收集通過手機(jī)觸控屏收集到的其它敏感信息，例如網(wǎng)頁密碼甚至是Tinder等約會應(yīng)用中的滑動模式信息。

　　蘭開斯特大學(xué)安全研究員Jeff Yan在郵件采訪中告訴我們，“盡管我們的實驗僅試圖竊取Android解鎖信息，但SonarSnoop實際上適用于可與麥克風(fēng)及揚聲器交互的任何環(huán)境。我們的下一項重要課題，在于如何讓成果真正創(chuàng)造價值。我們希望設(shè)備制造商對我們的攻擊活動抱有平和的心態(tài)，因為我們的目標(biāo)是通過幫助計算機(jī)工程師妥善解決下一代設(shè)備中的安全威脅以提升安全水平?！?/p>