黑客利用聲納原理：通過人耳聽不見的聲音破解智慧手機

最近，蘭開斯特大學的一組研究人員在arXiv上發表了一篇論文，演示了他們如何利用智慧手機的麥克風與揚聲器系統竊取裝置的解密資訊。

儘管人們短期內還無需為此類攻擊感到擔憂，但研究人員們確實證明這種攻擊的安全隱患。根據研究人員介紹，這種“SonarSnoop”攻擊能夠將攻擊者的解鎖操作次數減少70%，在人們不知情的條件下執行黑客入侵。

在資訊保安領域，“旁道攻擊（side-channel attack）”是指一種黑客行為，其無需利用目標程式中的安全缺陷、亦不必直接訪問目標資訊。以SonarSnoop為例，黑客希望獲得的實際是目標手機的解鎖密碼，但不同於直接對密碼內容進行暴力破解，或者直接窺視受害者的密碼資訊，SonarSnoop會利用其它可能導致密碼洩露的輔助資訊——即在裝置上輸入密碼時產生的獨特聲音。

也就是說， SonarSnoop適用於任何能夠與麥克風及揚聲器互動的環境 。

聲學旁道攻擊已經在PC以及其它多種聯網裝置當中得到廣泛應用。舉例來說，研究人員可以通過竊聽硬碟風扇的聲音隔空從計算機中恢復資料內容。他們還能夠通過聯網印表機的聲響確定列印在紙上的內容，或者根據3D印表機的聲音重建列印的3D物件。多數情況下，這些都屬於被動型旁道攻擊，意味著攻擊者只是在聆聽裝置執行時自然產生的聲音。

但此次 SonarSnoop 案例之所以如此重要，是因為 研究人員第一次成功在移動裝置上演示了有源聲學旁道攻擊——即對使用者主動操作裝置時發出的聲音進行利用 。

當用戶們無意在自己的手機上安裝惡意應用程式時，攻擊就已經開始了。在使用者下載受感染的應用程式後，他們的手機會開始廣播聲音訊號，而該訊號恰好高於人類的聽覺範圍。聲音訊號會在手機周邊的各個物體上進行反射，併產生回聲。此後，手機上的麥克風會對回聲進行記錄。

通過計算聲音反射以及回聲與聲源間的返回時差，即可確定物體在給定空間中的位置以及該物體是否進行了移動——這就是聲納（sonar）的原理。同樣，通過分析由裝置麥克風錄製的回聲，研究人員即可利用聲納原理追蹤使用者手指在智慧手機螢幕上的移動軌跡。

在Android手機上廣泛部署的3 x 3連線解鎖機制擁有近40萬種可能的模式，但此前的研究表明，20%的使用者只會使用12種常見組合中的一種。在測試SonarSnoop時，研究人員也僅專注這十餘種解鎖組合。

圖：12種最為常見的滑動解鎖模式

為了測試聲納攻擊的能力，研究人員選擇了三星Galaxy S4手機——一部於2013年首發布的Android手機。雖然這種攻擊在理論上適用於任何手機型號，但由於旋轉的位置不同，訊號分析工作必須根據特定手機型號對揚聲器及麥克風位置進行調整。蘭開斯特大學博士生Peng Cheng在接受郵件採訪時表示，“ 我們預計iPhone也同樣會受到攻擊，但我們目前只測試了針對Android機型的攻擊能力 。”

此次研究招募到10名志願者，他們的任務是在自定義應用程式當中繪製12種模式中的5種。而後，研究人員嘗試利用多種聲納分析技術根據手機發出的聲學特徵進行密碼重建。目前，最佳分析技術能夠在12種常見組合中平均嘗試3.6次即找到正確的解鎖模式。

雖然SonarSnoop攻擊還稱不上完美，但其已經能夠將必要嘗試次數減少達70%。研究人員們寫道，未來，他們希望通過進一步縮短聲納脈衝的時間間隔以及探索更多不同訊號分析策略的方式，改善其判斷準確度。

為了防止這類攻擊被實際應用，研究人員建議手機制造商在裝置設計階段將問題考慮進來 。 最好的預防方法是將裝置揚聲器的聲學範圍限制為人類能夠聽到的波長區間，或者允許使用者在其裝置上使用敏感資訊時選擇性地關閉聲音系統。當然，繼續改進對惡意應用程式下載活動的抵禦能力也是種不錯的辦法。

隨著指紋解鎖等生物特徵驗證機制在移動裝置上的快速普及，這類攻擊對於解鎖手機裝置的效用將顯著降低。但也正如研究人員們所指出，類似的技術亦可用於收集通過手機觸控屏收集到的其它敏感資訊，例如網頁密碼甚至是Tinder等約會應用中的滑動模式資訊。

蘭開斯特大學安全研究員Jeff Yan在郵件採訪中告訴我們，“儘管我們的實驗僅試圖竊取Android解鎖資訊，但SonarSnoop實際上適用於可與麥克風及揚聲器互動的任何環境。我們的下一項重要課題，在於如何讓成果真正創造價值。我們希望裝置製造商對我們的攻擊活動抱有平和的心態，因為我們的目標是通過幫助計算機工程師妥善解決下一代裝置中的安全威脅以提升安全水平。”

【注：蘭開斯特大學關於“黑客破解手機”的研究論文下載方式：關注科技行者微信公眾號（itechwalker）回覆“黑客破解手機”，即可獲取。】