科客點評：虛擬助手畢竟也是程序代碼，被“欺騙”也是正常的。

　　智能手機上的虛擬助手可以幫助用戶輕松實現(xiàn)很多功能，但你是否有自信它只會聽你一個人的話？如果Siri或Google Now被欺騙，然后在iPhone和Android手機上執(zhí)行一些未經(jīng)你實際許可的任務，是不是聽起來有些天方夜譚？先別笑，因為聰明的黑客們已經(jīng)找到了一個特殊的方法來監(jiān)控用戶、或者啟動二級惡意應用。

（Kasmi和Esteves通過無線電波入侵手機語音命令的實驗裝置）

　　據(jù)外媒報道，法國信息安全機構(gòu)ANSSI發(fā)現(xiàn)了一種可以不被智能機使用者所注意到，即可向Siri和Google Now發(fā)送無線電指令的方法。

　　被欺騙的虛擬助手將會開始執(zhí)行一些任務，比如打開一個引向部署惡意軟件的網(wǎng)頁、向吸費號碼發(fā)短信或打電話、通過Facebook/Twitter/電子郵件發(fā)表垃圾消息或釣魚郵件。

　　除非盯著屏幕，不然iPhone和Android用戶很難注意到自己被攻擊了。事后注意到蛛絲馬跡的可能性不是很高，除非你突然意識到自己的賬單費用突然大幅增長。

　　這種方法在酒吧等人群密集的地方殺傷力更大，因為此時手機通常會被放在錢包或口袋里。

　　研究員José Lopes Esteves和Chaouki Kasmi在IEEE上發(fā)表的一篇文章中寫到：“可被音頻誘導信號聲控喚起的前沿設備，其安全將受到嚴重的影響”。

　　ANSSI研究組主管Vincent Strubel亦指出：“此事幾乎沒有限制，你能通過語音接口做到的遠程，電磁信號也可以細心地做到”。

　　舉例來說，當你的將帶麥克風的耳機插入iPhone或Android設備之后，攻擊者可將耳機當做是一個ad-hoc天線，以便將電磁波轉(zhuǎn)換成欺騙操縱Siri或Google Now的語音指令。

　　攻擊設備可由開源的GNU Radio、USRP軟電臺、放大器、以及一根天線所組成，它可輕松塞入一只雙肩背包，有效覆蓋半徑約6.5英尺（2米）。

　　如果是裝在廂式貨車里的一根大天線，甚至可以將覆蓋半徑增加到16英尺（4米）。當然，如果你禁用了Siri或Google Now，那么這個方法就不管用了。關注科客網(wǎng)官方微信kekebat，獲取更多精彩資訊。（cnbeta，原標題《黑客發(fā)現(xiàn)通過Siri和Google Now攻擊手機新方法》）