美國研究團隊發現新型態的「 NUIT」攻擊,是利用裝置麥克風和語音助理的漏洞,對手機、音箱或者網路媒體當中發動「無聲攻擊」。研究教授表示,避免這類攻擊發生,要多加注意點擊的網頁連結和麥克風權限,以及使用耳機也可以避免遭受惡意攻擊。
由德州大學聖安東尼奧分校教授 Guenevere Chen 及其博士生 Qi Xia,以及科羅拉多大學科羅拉多泉分校教授 Shouhuai Xu 所組成的研究團隊發表論文,展示一種名為「 Near-Ultrasound Inaudible Trojan(NUIT)」的新型攻擊,主要原理是裝置中的麥克風接收到人耳所聽不見的近距離超音波,可整合在媒體網站或 YouTube 影片中,誘騙受害者造訪特定網站,或是在信賴的網站上,播放特定 YouTube 影片就有可能中招。NUIT攻擊也可以利用裝置的麥克風和語音助理的漏洞,向用戶語音助理發送惡意命令,使智慧手機、智慧音箱及其他物聯網裝置遭到攻擊。
如果你在智慧電視播放YouTube,智慧電視具有揚聲器,NUIT 惡意命令可以將特定音訊轉換成人聽不見的音波去攻擊你的手機。甚至也可能在進行視訊會議時,透過 Zoom來發動攻擊,當有人取消靜音聆聽會議內容,可嵌入攻擊訊號來破解放在電腦旁的手機。而教授Guenevere Chen 進一步解釋,揚聲器需要達到一定的音量才能讓NUIT攻擊生效,但惡意命令的音訊長度必須低於0.77秒。
Guenevere Chen 建議可以使用耳機來代替揚聲器,原因是耳機所發出的聲音太低,並不能傳送到麥克風,一旦麥克風無法接收到惡意命令,也就無法啟動語音助理。面對新型態的NUIT攻擊,在點擊網頁連結和授予麥克風權限時更加謹慎以外,也可以使用耳機來播放聲音,避免遭遇惡意攻擊。