基于声的带外信号注入攻击

2024年10月18日23:55:25评论133 views字数 4222阅读14分4秒阅读模式

引·言

电子设备发展至今，传统的功能已经无法完全满足人们的使用需求，为了增强与用户的交互性，设备被要求感知越来越多物理世界的信息，传感器、语音设备等元件在智能设备中屡见不鲜。然而，交互性带来了更多信息交换的情况，这给声光电磁等物理信号干扰设备正常工作提供了更多的可能性。

目前大部分声学干扰研究集中在“不可听”领域，指干扰信号的频率在人耳听觉范围（20Hz-20KHz）外，即人无法感知到干扰的存在，因此具有极强的隐蔽性。

海豚音攻击

作为声干扰之一的海豚音攻击是目前声学干扰一大研究热点。对于海豚音攻击来说，攻击目标大多是现实中流行的各类语音识别系统。

图1 麦克风工作流程以及信号频谱

Guoming Zhang等人首次提出针对语音识别系统的高频声波攻击[1]。它在超声波载体（f>20kHz）上调制语音命令，以达到不可听的效果。如图1所示，因为麦克风中存在低通滤波器LPF，只允许一定范围(20-20kHz)内的信号通过，所以高频的干扰信号会被过滤掉。但由于麦克风的非线性，高频信号通过放大器后会产生低频的谐波信号。

将(2)(3)带入(1)后可以得到，输出信号Sout(t)包含预期的频率分量(fm)、Sin(t)的基频分量（fc,fc-fm,fc+fm）以及许多谐波分量(2(fc−fm),2(fc+fm),2fc ,2fc+fm,2fc−fm）,以上所有信号经过LPF时，高频分量将被过滤，fm频率分量将保留并被语音命令系统识别。Zhang等人设计的海豚音攻击能够达到以下攻击效果包括访问恶意网站、恶意监视、注入虚假信息、拒绝服务以及隐蔽性攻击等。但需要注意的是环境噪音、攻击声压级和距离极大程度上影响着攻击的成功率。

与[1]类似的，作者Liwei Song[3]等人针对受害者设备用于语音感知的麦克风，提出了一个详细的攻击算法来获得听觉范围外的语音命令，通过精心设计的超声波传输来控制常见的语音助手。最终，攻击者成功地向安卓手机注入了不可听的语音命令，相比于[1]实现了更长距离的攻击（3.54米，输入功率为23.7W）。在实验测试中，运行安卓7.1.2的Nexus 5X放置在离扬声器2米的地方进行录音，当播放攻击超声波时，手机被成功激活并打开摄像头应用程序。同时为了测试攻击范围，作者又使用安卓手机和亚马逊Echo设备进行实验，分别在3米和2米的距离上取得了很高的成功率，结果表明攻击范围与扬声器的功率呈正相关。与安卓手机相比，亚马逊Echo的攻击范围更小，因为它的麦克风是塑料覆盖的。

但攻击距离依然无法满足研究人员的期望，于是在2018年，Roy等人指出[7]，扬声器的非线性使攻击者更难增加攻击距离：增加扬声器的传输功率会触发扬声器自己的隔膜和放大器的非线性，从而产生人耳听觉范围内的输出。相反，以超声波扬声器阵列形式出现的多个扬声器可以用来攻击语音识别系统，实验配置6W的声源，攻击距离可以高达7.6米。这种攻击的工作方式是将音频频谱分配到不同的扬声器上，以减少来自任何给定扬声器的音频泄漏，同时最小化总泄漏功率。

除此之外，声共振攻击也是声学干扰的热门方向之一。

声共振攻击

由于嵌入式传感器的测量通常被控制系统信任来做出关键地决策，模拟传感器的安全性已经成为一个越来越重要的问题。其中，MEMS惯性传感器由于其在控制系统中的临界性而受到近年来安全研究的关注，成为声共振攻击的主要攻击对象。

图2 单轴加速度计结构

在惯性传感器中，通常配置一个小型的质量块，用来判断系统的运动状态。如图2所示，当系统产生一个水平方向的加速度a，由于惯性，质量块m会发生位移，左右两侧的悬浮弹簧形变以产生支持加速度的弹力F。因此，若要计算系统的加速度a，只需要知道弹簧的弹性系数k，以及形变量x。

攻击者可以利用这一点，向传感器发送与质量块共振频率接近的声信号，质量块收到声信号的影响会不受控地振动，达到人为干扰质量块运动的目的，这样系统测量得到的位移x会与实际位移存在误差，从而使传感器产生错误输出。

惯性传感器主要包括加速度计和陀螺仪，虽然早期对MEMS陀螺仪的研究说明高功率的噪声会降低传感器的性能，但首次提出该类攻击方式是在2015年。Son等人提出了一种针对无人机的声波攻击方法[2]，这些无人机都配置了微机电系统（MEMS）陀螺仪，其攻击效果是对无人机的一次简单的拒绝服务（DoS）攻击。通过发送与陀螺仪共振频率接近的声信号，使无人机内部的陀螺仪产生共振，导致陀螺仪性能下降，因此无法控制无人机地飞行。该攻击实验中，攻击距离很短，攻击者需要在距离无人机10厘米处放置一个扬声器，在目标频率上产生高达113dB的声压级（SPL），才能达到攻击效果。作者团队还发现，MEMS陀螺仪的共振频率不仅存在于超声波频段，还可能存在于听觉范围内的频段，并基于此种情况实验了针对A、B两台不同的无人机的攻击效果。结果表明攻击成功地破坏了对目标无人机A的控制，但没有影响到目标无人机B。原因是无人机B的陀螺仪只沿z轴共振，而z轴对应了电路板上磁强计所感测的水平方向。但是使用低频率的声音很容易被检测到，且信号发生器需要靠近无人机。同时研究者还发现加速度计在某些频率下也会受到高功率声信号的影响，因此也存在被攻击的可能性。

在Son[2]出现后，涌现出许多类似的针对陀螺仪的攻击方式，但他们的目标都只是使用声信号影响传感器的输出，很少有攻击实现对嵌入真实系统的惯性传感器的有效控制。

直到2018年，Yazhou Tu等人在“Injected and delivered”一文中，提出了针对MEMS惯性传感器的声信号注入攻击[5]。他们利用共振频率范围附近的声信号，让MEMS惯性传感器中的质量块产生共振，达到带外信号注入的效果，从而设计了两种方式攻击嵌入了MEMS惯性传感器的设备，可以实现对执行器的隐式控制。在实际的实验中，作者展示了一些攻击效果，如控制平衡车的移动方向和速度、使Mitu机器人停止工作等。但由于采样率偏移的问题，注入的声信号需要不断调整，并且很难攻击移动的目标。尽管如此，该工作依然是第一个以更精细的方式控制陀螺仪的学术工作。这项研究允许长时间控制（达到分钟级别）和长距离控制（高达7.8米，最大SPL为135 dB）。

为了应对人们对声学脆弱性日益增长的兴趣，SHADI等人在2019年[6]创建了一个数学模型来解释陀螺仪的共振响应，他们发现陀螺仪的传感轴与驱动轴之间的错位是陀螺仪易受超声波攻击的主要原因，作者测试了一个陀螺仪装置，将其暴露在频率接近其共振频率（15 kHz）的声信号中，发现它会产生角速度低频（0.5 - 190 Hz）振荡的错误读数。实验结果表明，超声波攻击MEMS陀螺仪具有较高的安全风险。除了攻击几乎听不到之外，由此产生的欺骗性角速度信号具有非常低的频率内容，这不能通过添加一个低通滤波器来衰减。保护陀螺仪远离声学噪声是一种缓解声学攻击的方法。用泡沫等声抑制材料覆盖传感器，可以衰减声信号，防止其穿透包装。然而，泡沫为陀螺仪的包装增加了体积，这对MEMS设备的紧凑性产生了不利影响，并提高了电路板的温度，使其不太适合用于嵌入式系统。

总结

为了追求智能化和交互性，当下的设备嵌入了许多感知物理环境的元件，如传感器、麦克风等。当用户享受这些元件带来的便利的同时，隐患也随之而来。本文就声学的角度，介绍了两种依靠带外声信号注入的攻击类型，能够实现对传感器以及语音识别系统等元件的欺骗。这些攻击手段的出现也说明，技术与隐患总是共生的，攻击与防御总是在动态中发展、在博弈中消长，在技术爆发式发展的今天，安全防御的思想更应当时刻铭记。

参考文献

[1] Zhang G , Yan C , Ji X , et al. DolphinAtack: Inaudible Voice Commands[J]. ACM, 2017.

[2] Son Y , Shin H , Kim D , et al. Rocking drones with intentional sound noise on gyroscopic sensors. USENIX Association, 2015.

[3] Song L , Mittal P . POSTER: Inaudible Voice Commands[C]// the 2017 ACM SIGSAC Conference. ACM, 2017.

[4] Bolton C, Rampazzi S , Li C, et al. Blue Note: How Intentional Acoustic Interference Damages Availability and Integrity in Hard Disk Drives and Operating Systems[C]// 2018 IEEE Symposium on Security and Privacy (SP). IEEE, 2018.

[5] Tu Y , Lin Z, Lee I, et al. Injected and Delivered: Fabricating Implicit Control over Actuation Systems by Spoofing Inertial Sensors[J]. 2018.

[6] Khazaaleh S , Korres G , Eid M , et al. Vulnerability of MEMS Gyroscopes to Targeted Acoustic Attacks[J]. IEEE Access, 2019, PP(99):1-1.

[7] Roy N , Shen S, Hassanieh H , et al. Inaudible Voice Commands: The Long-Range Attack and Defense[C]// Networked Systems Design and Implementation. USENIX Association, 2018.

中国保密协会

科学技术分会

长按扫码关注我们