黑客如何利用聲納原理破解智能手機？

　　最近，蘭開斯特大學的一組研究人員在arXiv上發表了一篇論文，演示了他們如何利用智能手機的麥克風與揚聲器系統竊取設備的解密信息。

　　盡管人們短期內還無需為此類攻擊感到擔憂，但研究人員們確實證明這種攻擊的安全隱患。根據研究人員介紹，這種“SonarSnoop”攻擊能夠將攻擊者的解鎖操作次數減少70%，在人們不知情的條件下執行黑客入侵。

　　在信息安全領域，“旁道攻擊(side-channel attack)”是指一種黑客行為，其無需利用目標程序中的安全缺陷、亦不必直接訪問目標信息。以SonarSnoop為例，黑客希望獲得的實際是目標手機的解鎖密碼，但不同于直接對密碼內容進行暴力破解，或者直接窺視受害者的密碼信息，SonarSnoop會利用其它可能導致密碼泄露的輔助信息——即在設備上輸入密碼時產生的獨特聲音。

　　也就是說，SonarSnoop適用于任何能夠與麥克風及揚聲器交互的環境。

　　聲學旁道攻擊已經在PC以及其它多種聯網設備當中得到廣泛應用。舉例來說，研究人員可以通過竊聽硬盤風扇的聲音隔空從計算機中恢復數據內容。他們還能夠通過聯網打印機的聲響確定打印在紙上的內容，或者根據3D打印機的聲音重建打印的3D對象。多數情況下，這些都屬于被動型旁道攻擊，意味著攻擊者只是在聆聽設備運行時自然產生的聲音。

　　但此次SonarSnoop案例之所以如此重要，是因為研究人員第一次成功在移動設備上演示了有源聲學旁道攻擊——即對用戶主動操作設備時發出的聲音進行利用。

　　當用戶們無意在自己的手機上安裝惡意應用程序時，攻擊就已經開始了。在用戶下載受感染的應用程序后，他們的手機會開始廣播聲音信號，而該信號恰好高于人類的聽覺范圍。聲音信號會在手機周邊的各個物體上進行反射，并產生回聲。此后，手機上的麥克風會對回聲進行記錄。

　　通過計算聲音反射以及回聲與聲源間的返回時差，即可確定物體在給定空間中的位置以及該物體是否進行了移動——這就是聲納(sonar)的原理。同樣，通過分析由設備麥克風錄制的回聲，研究人員即可利用聲納原理追蹤用戶手指在智能手機屏幕上的移動軌跡。

　　在Android手機上廣泛部署的3 x 3連線解鎖機制擁有近40萬種可能的模式，但此前的研究表明，20%的用戶只會使用12種常見組合中的一種。在測試SonarSnoop時，研究人員也僅專注這十余種解鎖組合。

圖：12種最為常見的滑動解鎖模式

　　為了測試聲納攻擊的能力，研究人員選擇了三星Galaxy S4手機——一部于2013年首發布的Android手機。雖然這種攻擊在理論上適用于任何手機型號，但由于旋轉的位置不同，信號分析工作必須根據特定手機型號對揚聲器及麥克風位置進行調整。蘭開斯特大學博士生Peng Cheng在接受郵件采訪時表示，“我們預計iPhone也同樣會受到攻擊，但我們目前只測試了針對Android機型的攻擊能力。”

　　此次研究招募到10名志愿者，他們的任務是在自定義應用程序當中繪制12種模式中的5種。而后，研究人員嘗試利用多種聲納分析技術根據手機發出的聲學特征進行密碼重建。目前，最佳分析技術能夠在12種常見組合中平均嘗試3.6次即找到正確的解鎖模式。

　　雖然SonarSnoop攻擊還稱不上完美，但其已經能夠將必要嘗試次數減少達70%。研究人員們寫道，未來，他們希望通過進一步縮短聲納脈沖的時間間隔以及探索更多不同信號分析策略的方式，改善其判斷準確度。

　　為了防止這類攻擊被實際應用，研究人員建議手機制造商在設備設計階段將問題考慮進來。最好的預防方法是將設備揚聲器的聲學范圍限制為人類能夠聽到的波長區間，或者允許用戶在其設備上使用敏感信息時選擇性地關閉聲音系統。當然，繼續改進對惡意應用程序下載活動的抵御能力也是種不錯的辦法。

　　隨著指紋解鎖等生物特征驗證機制在移動設備上的快速普及，這類攻擊對于解鎖手機設備的效用將顯著降低。但也正如研究人員們所指出，類似的技術亦可用于收集通過手機觸控屏收集到的其它敏感信息，例如網頁密碼甚至是Tinder等約會應用中的滑動模式信息。

　　蘭開斯特大學安全研究員Jeff Yan在郵件采訪中告訴我們，“盡管我們的實驗僅試圖竊取Android解鎖信息，但SonarSnoop實際上適用于可與麥克風及揚聲器交互的任何環境。我們的下一項重要課題，在于如何讓成果真正創造價值。我們希望設備制造商對我們的攻擊活動抱有平和的心態，因為我們的目標是通過幫助計算機工程師妥善解決下一代設備中的安全威脅以提升安全水平。”