威尼斯90588 cc-vns9848威尼斯城

一个新的小工具可以阻止语音助手窥探您

由于受欢迎Alexa和其他语音助手的用户数量也在增长,这些助手的行为方式以及侵犯用户隐私的方式也都在增加。例子包括利用激光秘密地打开连接的门并启动汽车的黑客,窃听和网络钓鱼密码的恶意助手应用程序,以及由提供者员工秘密地例行监视或被传唤用于刑事审判的讨论。现在,研究人员已经开发出一种设备,该设备可能有一天允许用户通过警告这些设备被错误或有意窥探附近的人来收回其隐私。

LeakyPick放置在家庭或办公室的各个房间中,以检测将附近音频流传输到Internet的设备的存在。通过定期发出声音并监视后续的网络流量(可以将其配置为在用户不在时发送声音),售价约40美金的原型可以94%的精度检测音频的传输。该设备监视网络流量,并在识别出的设备流环境声音时发出警报。

LeakyPick还测试设备的唤醒词误报,即错误激活助手的词。到目前为止,研究人员的设备已经发现89个单词,这些单词出乎意料地导致Alexa将音频流传输到AMAZON。两周前,另一组研究人员发表了1000多个单词或短语会产生错误的触发器,从而导致设备将音频发送到云。“对于许多注重隐私的消费者来说,尽管智能设备是增强家庭自动化和人身安全的有前途的技术,但在他们的房屋中散布互联网连接的语音助手(带有麦克风)是一个令人担忧的前景,”设计该设备的研究人员之一在一封电子邮件中说。“ LeakyPick设备识别出智能家居设备,这些设备会意外记录并向互联网发送音频,并向用户发出警告。”

收回用户隐私

语音控制设备通常使用本地语音识别来检测唤醒词,并且出于可用性的考虑,通常对设备进行编程以接受发音相似的词。当附近的语音类似于唤醒词时,助手会将音频发送到具有更全面语音识别功能的服务器。除了掉入这些无意的传输之外,助手还容易受到黑客的攻击,这些黑客故意触发唤醒词,从而向攻击者发送音频或实行其他危害安全性的任务。

在本月初发表的一篇论文中,Sadeghi和其他研究人员(达姆施塔特大学,巴黎萨克莱大学和北卡罗来纳州立大学)写道:

本文的目的是为普通用户设计一种方法,以可靠地识别IoT设备:1)配备了麦克风,以及2)在用户不知情的情况下将录制的音频从用户家中发送到外部服务。如果LeakyPick可以识别出哪些网络数据包包含录音,它可以通知用户哪些设备正在向云端发送音频,因为可以通过硬件网络地址来识别网络数据包的来源。这提供了一种识别音频到云的无意传输以及上述攻击的方法,在这种攻击中,攻击者试图通过将音频注入设备环境来调用特定的动作。

实现所有这些要求研究人员克服两个挑战。首先是大多数辅助流量都已加密。这样可以防止LeakyPick检查数据包有效载荷以检测音频编解码器或其他音频数据符号。其次,随着新的,以前看不见的语音助手不断出现,LeakyPick还必须检测来自设备的音频流,而无需对每个设备进行事先培训。以前的方法(包括一种称为HomeSnitch的方法)要求对每种设备模型进行高级培训。

为了清除障碍,LeakyPick会在房间中定期传输音频,并监视来自连接设备的网络流量。通过将音频探针与随后观察到的网络流量特征临时关联,LeakyPick枚举了可能传输音频的连接设备。设备识别可能的音频传输的一种方法是通过寻找突发流量。语音激活设备通常在不活动时发送有限数量的数据。突然的电涌通常表示设备已激活并且正在通过Internet发送音频。

单独使用脉冲串容易产生误报。为了清除它们,LeakyPick采用了基于独立的两个样本t检验的统计方法,以比较设备在空闲时和对音频探针的响应时的网络流量特征。这种方法具有在研究人员从未分析过的设备上工作的额外好处。该方法还允许LeakyPick不仅适用于使用唤醒词的语音助手,而且还适用于安全摄像机和其他传输没有唤醒词的音频的物联网设备。

防范意外和恶意泄漏

到目前为止,LeakyPick(其使命是解决网络连接设备的音频泄漏问题)而得名,它发现了89个非唤醒词,这些词可以触发Alexa向AMAZON发送音频。随着更多的使用,LeakyPick可能会在Alexa和其他语音助手中找到其他单词。研究人员已经在谷歌 Home中发现了一些误报。89个单词出现在上述链接的第13页上。

除了检测到意外的音频传输,该设备还将发现语音助手的几乎所有激活,包括恶意的激活。去年发生的一次攻击导致设备通过在Alexa,谷歌 Home和Apple Siri设备上发出激光而连接到智能家居,从而使设备解锁并启动汽车。萨德吉说,LeakyPick将很容易检测到这种黑客行为。原型硬件包括通过以太网连接到本地网络的Raspberry Pi 3B。它还通过耳机插孔连接到PAM8403放大器板上,该放大器板又连接到单个通用3W扬声器。设备使用TP-LINK TL-WN722N捕获网络流量USB Wi-Fi加密狗,使用hostapd和dnsmasq作为DHCP服务器创建无线访问点。然后,附近的所有无线IoT设备将连接到该接入点。

为了使LeakyPick能够访问Internet,研究人员激活了以太网(连接到网络网关)和无线网络接口之间的数据包转发。研究人员用Python编写了LeakyPick。他们使用tcpdump记录数据包,并使用谷歌的语音合成引擎生成由探测设备播放的音频。

随着流式传输附近音频的设备的使用日益增多,以及故障或被黑客入侵的方式越来越广泛,很高兴看到研究提出了一种简单,低成本的方法来抵制泄漏。在像LeakyPick这样的设备可用之前,甚至在此之后,人们应该仔细地质疑语音助手的好处是否值得冒险。在使用助手时,用户应保持其处于关闭状态或拔下电源,除非正在使用中。

慎重声明:本文版权归原编辑所有,转载文章仅为传播更多信息之目的,如编辑信息标记有误,请第一时间联系大家修改或删除,多谢。

威尼斯90588 cc|vns9848威尼斯城

XML 地图 | Sitemap 地图