根據一項估計,到了今年底,全球將賣出 3,300 萬個「優先使用語音」的裝置。有鑑於語音式物聯網(IoT ,Internet of Thing)裝置在全球的使用數量驚人,因此安全應該列為這類裝置的優先考量重點。隨著裝置數量越來越多,IoT 預料也將變得更加凌亂,不僅將遇到各種相容性問題,同時也將充斥著各種安全問題。
趨勢科技資深威脅工程師 David Sancho 指出,語音式裝置 (如 Amazon Echo 和 Google Home 等智慧音箱/智慧喇叭) 採用新的人機介面來與裝置互動。使用時只需用語音來下達指令就能操作這些語音助理。
這些語音助理在某些環境當中特別有用,例如當使用者無法使用或者不喜歡使用鍵盤和滑鼠等傳統輸入裝置時,常見的使用情境如廚房或浴室。不過在工業環境當中,如自動化工廠和醫院開刀房,這類語音式裝置也非常實用,因此它們也開始在工業物聯網 (IIoT) 環境當中流行。
Sancho 列舉了三種這類語音應用環境可能遭遇的威脅:隱私問題、假冒語音指令、阻斷服務攻擊。
根據 Sancho 指出,還有一些語音和聲音技術也可能帶來更危險的攻擊情境,例如:
指向性喇叭
指向性喇叭技術可能讓駭客直接對裝置發送語音指令,而裝置附近的人卻不易察覺。一般來說,這是一種很特殊且應用不廣的技術,但這類技術確實存在,而且駭客不須花費太高成本就能將它變成一種武器。
高頻與低頻指令
駭客可錄製超出人耳聽覺範圍的語音指令,就能指使語音助理來做一些事情而不讓任何人聽到。某些裝置甚至可以在一些人耳聽起來像是背景音樂的聲音當中辨別出語音指令。
將任意資料轉成聲音
這可以誤導裝置或讓它將資料傳送至雲端,當成一種將機密資料外傳的手段。所謂「音聯網」(Internet of Sound) 的可能性還需要更多研究來證實,但在這方面駭客倒是有一些手法可用。
五個防範語音式裝置威脅的方法
由於語音助理還是一個相當新的領域,因此對使用者來說充滿了無限的可能性,尤其是工業環境下的工作者。然而,任何新的技術都會帶來新的攻擊威脅。正如其他 IoT 和 IIoT 裝置一樣,使用者最好養成以下良好習慣來防範並減少攻擊:
- 啟用智慧型裝置內建的所有安全功能。
- 務必隨時將裝置韌體更新到最新版本。
- 換掉預設的密碼,改用更安全的密碼。
- 關閉裝置和路由器上任何未用到的連接埠。
- 利用加密來保護所有網路和裝置。
語音式 IoT 和 IIoT 裝置有可能徹底改變我們的日常工作,讓家庭和工作場所都更加便利。儘管這些裝置所用到的技術都還非常新,但相關的攻擊卻已經存在。Sancho 表示,任何新鮮事物都一樣,找出攻擊面並預先防範潛在攻擊是最重要的工作。