近期档桃，幾篇名為「語音助手存在重大漏洞，黑客可以這樣攻擊你的手機(jī)」以及「海豚攻擊憔晒，攻破你的語音助手」等類似文章廣泛傳播藻肄，文章中提到已攻陷了包括蘋果 Siri、亞馬遜 Alexa拒担、微軟 Cortana嘹屯、三星S Voice、Google Assistant从撼、華為 HiVoice 等知名語音助手州弟，讓大家對(duì)語音交互的安全性不免又增添疑慮。

在一篇相關(guān)的研究論文「DolphinAttack: Inaudible Voice Commands」中低零，作者介紹了上述主流語音助手遭受黑客入侵婆翔，導(dǎo)致手機(jī)、智能音箱掏婶、電腦等硬件設(shè)備接收到第三方指令并且執(zhí)行惡意任務(wù)的現(xiàn)象啃奴。比如黑客可激活「Hey，Siri」或者「Ok雄妥，Google」這些基本指令最蕾，控制 iPhone 撥打某個(gè)電話號(hào)碼或者進(jìn)行視頻通話依溯；他們還可控制 Macbook、Nexus 7 打開惡意網(wǎng)站瘟则；或者命令 Amazon Echo 打開你家里門鎖黎炉；甚至讓奧迪 Q3 的導(dǎo)航系統(tǒng)定位到另一地點(diǎn)。

這一系列的語音助手入侵案例都無一例外的對(duì)個(gè)人安全和隱私造成了威脅醋拧。作為近年來備受關(guān)注的科技領(lǐng)域慷嗜，物聯(lián)網(wǎng)逐漸覆蓋生活中的方方面面，安全必定是個(gè)不容忽視且亟待解決的問題趁仙。

為幫助理解智能語音遭受入侵的全過程以及原理洪添，科大訊飛資深科學(xué)家、研究院副院長王海坤為我們解釋「海豚攻擊」產(chǎn)生的原因和潛在威脅雀费，并列舉了一些化解「安全漏洞」的防范干奢。

什么是「海豚攻擊」

這個(gè)名詞源于該論文「DolphinAttack: Inaudible Voice Commands」，這里面的關(guān)鍵詞「DolphinAttack」盏袄，即「海豚攻擊」源于一種現(xiàn)象忿峻，即海豚能發(fā)出超聲波來攻擊目標(biāo)魚群進(jìn)行覓食，而這種攻擊也正是借助了超聲波辕羽。

提到超聲逛尚，這里先科普一下聲音信號(hào)的頻帶分布、相應(yīng)的名稱和性質(zhì)刁愿。

當(dāng)物體振動(dòng)時(shí)會(huì)發(fā)出聲音绰寞。每秒鐘振動(dòng)的次數(shù)稱為聲音的頻率，它的單位是 Hz铣口。人類耳朵能聽到的聲波頻率為 20Hz～ 20KHz滤钱。當(dāng)聲波的振動(dòng)頻率大于 20KHz 小于 20Hz 時(shí)，人類則無法聽見脑题。

頻率高于 20kHz 的聲波稱為「超聲波」件缸。超聲波具有方向性好，穿透能力強(qiáng)叔遂，易于獲得較集中的聲能他炊，在水中傳播距離遠(yuǎn)等特點(diǎn)，通常用于醫(yī)學(xué)診斷的超聲波頻率為 1MHz～5MHz已艰。

頻率低于 20Hz 的聲音稱為次聲痊末。次聲特點(diǎn)是來源廣、傳播遠(yuǎn)哩掺、穿透力強(qiáng)舌胶，不容易衰減，不易被水和空氣吸收疮丛。某些頻率的次聲波由于和人體器官的振動(dòng)頻率相近幔嫂，容易和人體器官產(chǎn)生共振，對(duì)人體有很強(qiáng)的傷害性誊薄，危險(xiǎn)時(shí)可致人死亡履恩。

這篇文章里提到的「海豚攻擊」就是用到了超聲的基本原理，其技術(shù)實(shí)現(xiàn)思路是：

＃步驟 1：把正常的頻率范圍的語音信號(hào)（用于語音識(shí)別的語音一般是 16KHz 采樣呢蔫，由奈奎斯特率可知其信號(hào)的最高頻率是 8KHz切心，這里稱為 Baseband 信號(hào)），利用幅度調(diào)制的方法把 Baseband 信號(hào)調(diào)制到超聲范圍片吊，該超聲信號(hào)稱為載波（Carrier）绽昏。

這么做主要目的是把信號(hào)調(diào)制到被攻擊的用戶無法聽到的超聲波范圍。下面就是幅度調(diào)制的原理圖：

＃步驟 2：利用超聲發(fā)射器來發(fā)射調(diào)制后的超聲信號(hào)俏脊，沖擊被測設(shè)備全谤。通過設(shè)備端自身的錄音系統(tǒng)實(shí)現(xiàn)對(duì) Baseband 信號(hào)的解調(diào)，從而實(shí)現(xiàn)對(duì)設(shè)備的控制爷贫。

搭建一套這樣的超聲沖擊測試系統(tǒng)认然，需要以下幾個(gè)設(shè)備：

• 信號(hào)源（Signal Source）：用來產(chǎn)生 Baseband 測試信號(hào)，用普通手機(jī)便可漫萄。
  
• 信號(hào)發(fā)生器（Signal Generator）：用來產(chǎn)生超聲信號(hào)卷员，并把 Baseband 信號(hào)調(diào)制相應(yīng)的中心頻率。
  
• 功率放大器（Power Amplifier）：用來對(duì)超聲載波信號(hào)進(jìn)行功率放大腾务。
  
• 超聲揚(yáng)聲器（Ultrasonic Speaker）：用來播放超聲載波信號(hào)毕骡。
  

文章中還提到可以做成一個(gè)簡化裝置，成本在 3 美元以下：

基于這樣的裝置岩瘦，該系統(tǒng)實(shí)現(xiàn)了對(duì)語音助手的控制未巫，實(shí)現(xiàn)如前文所提到的手機(jī)受控?fù)艽螂娫挕⒋蜷_飛行模式担钮、打開網(wǎng)頁等操作橱赠，并且這些動(dòng)作均是在用戶不知不覺的過程中進(jìn)行，如將調(diào)低音量箫津、屏幕亮度降至最低以避免用戶察覺狭姨。該作者進(jìn)一步表示，除此之外苏遥，若黑客入侵到一個(gè)能實(shí)現(xiàn)語音購物饼拍、支付的系統(tǒng)，你的錢被花掉也是分分鐘的事情田炭。

「海豚攻擊」為何能實(shí)現(xiàn)

接下來分析一下我們常見支持語音控制的系統(tǒng)师抄，包括手機(jī)、汽車教硫、智能硬件有什么缺陷叨吮，導(dǎo)致讓黑客可以有機(jī)可乘辆布。

首先了解一下語音控制系統(tǒng)的錄音（Voice Capture）有哪些環(huán)節(jié)：

從上圖種可以看到，錄音系統(tǒng)包括了：

a） 麥克風(fēng)：Microphone茶鉴，用于把聲壓信號(hào)轉(zhuǎn)換為模擬電信號(hào)锋玲。

b） 放大器：Amplifier，用于模擬信號(hào)的增益放大涵叮。

c） 低通濾波器：Low pass Filter惭蹂，用于過濾高頻無用的信號(hào)。

d） 模數(shù)轉(zhuǎn)換器：ADC割粮，用于把模擬信號(hào)采樣為數(shù)字信號(hào)盾碗。

在錄音系統(tǒng)的各個(gè)環(huán)節(jié)中，「海豚攻擊」有幾處風(fēng)險(xiǎn)可以利用：

a） 該文章作者的觀點(diǎn)是舀瓢，麥克風(fēng)本身的非線性會(huì)對(duì)載波信號(hào)實(shí)現(xiàn)部分解調(diào)廷雅。

b） 更為重要的原因在于，目前主流設(shè)備的錄音系統(tǒng)一般采用的是一階低通濾波器氢伟，過渡帶太寬榜轿，從而導(dǎo)致高頻信號(hào)不能有效的過濾；再加上市面上大部分的錄音設(shè)備 ADC 的抗混疊濾波效果有限朵锣，導(dǎo)致帶外信號(hào)被混疊到 Baseband 里面谬盐，從而客觀上實(shí)現(xiàn)了信號(hào)的解調(diào)。

「海豚攻擊」并不是想象中的那么容易

以上是「海豚攻擊」實(shí)現(xiàn)的基本原理诚些，該研究進(jìn)一步分析發(fā)現(xiàn)飞傀，這種「漏洞」雖然理論上存在風(fēng)險(xiǎn)，但是實(shí)現(xiàn)代價(jià)較大诬烹，且整體可行性較低砸烦，因此大眾也不必過于恐懼。以下是對(duì)實(shí)現(xiàn)效果局限性的具體分析：

＃局限性 1： 測試設(shè)備發(fā)射要求高绞吁，不易隱藏作案

首先幢痘，該系統(tǒng)需要一個(gè)大功率且大尺寸的信號(hào)發(fā)生器來生成高質(zhì)量的超聲信號(hào)；同時(shí)家破，目前的普通麥克風(fēng)對(duì) 20KHz 以上的信號(hào)頻響衰減非常大颜说，這就要求超聲信號(hào)有相當(dāng)大的發(fā)射功率。

這篇文章中使用的超聲發(fā)射器可以支持到 300MHz 的頻率范圍汰聋，超聲播放的聲壓級(jí)達(dá)到了 125dBL门粪，在這種情況下，普通簡化裝置的放大器和喇叭根本無法實(shí)現(xiàn)烹困。

＃局限性 2： 攻擊距離很短玄妈，智能家居產(chǎn)品不受影響

同樣是基于目前普通麥克風(fēng)對(duì) 20KHz 以上的信號(hào)頻響衰減過大的原因，在聲壓級(jí)是 125dBL 的播放超聲信號(hào)下（這個(gè)音量已經(jīng)需要非常專業(yè)播放設(shè)備了），實(shí)驗(yàn)的最遠(yuǎn)沖擊距離只有 1.75m拟蜻，而對(duì)于大部分超過 0.5m 的設(shè)備則沒法響應(yīng)绎签。另外，超聲信號(hào)不具備穿墻能力瞭郑，使得放在家中的智能硬件設(shè)備不受任何影響辜御。不過，反觀那些可攜帶到公共場所的手機(jī)和可穿戴設(shè)備屈张，則存在著一定的「風(fēng)險(xiǎn)」。

＃局限性 3： 攻擊語音質(zhì)量很低袱巨，效果和單個(gè)硬件相關(guān)

如前面所分析的阁谆，由于解調(diào)后的信號(hào)會(huì)經(jīng)過低通濾波器，各頻帶都會(huì)有不同程度的衰減愉老，且大部分 ADC 都有抗混疊濾波场绿，因此最終設(shè)備端解調(diào)進(jìn)來的 Baseband 信號(hào)失真嚴(yán)重，信噪比也不會(huì)很高嫉入。

攻擊效果也跟硬件本身相關(guān)焰盗，包括麥克風(fēng)型號(hào)、低通濾波器的實(shí)現(xiàn)方式和效果 咒林、ADC 抗混疊效果和采樣頻率熬拒。想要達(dá)到好的攻擊效果，必須根據(jù)實(shí)際的硬件來調(diào)節(jié)載波頻率垫竞，信號(hào)強(qiáng)度等參數(shù)澎粟。這對(duì)于公共場所游走作案，且不知道被攻擊者使用的什么設(shè)備的情況下是比較難以實(shí)現(xiàn)的欢瞪。

那么活烙，該如何從源頭上防止「海豚攻擊」？

通過以上的分析遣鼓，我們知道「海豚攻擊」只是在理論上存在風(fēng)險(xiǎn)啸盏，但是否有辦法從根本上解決該問題，做到萬無一失呢骑祟？這里就從硬件設(shè)計(jì)和軟件實(shí)現(xiàn)上談一下解決方案回懦。

硬件解決方案：

a） 再增加一個(gè)低通濾波器，進(jìn)一步減少高頻成分的泄露曾我。

b） 采用抗混疊更好的 ADC粉怕，進(jìn)行更嚴(yán)格的抗混疊測試。

c） 采用更高的采樣頻率抒巢，比如采樣率是 16K 的話贫贝， 16 ~ 24K 的信號(hào)就能混疊進(jìn)來。如果采樣率是 48Khz 的話，要 24Kh 以上的信號(hào)才有可能混疊進(jìn)來稚晚。實(shí)際上崇堵，24Khz 信號(hào)的發(fā)射和采集都要困難很多。

d） 采用動(dòng)態(tài)的采樣頻率客燕，讓攻擊者無法及時(shí)調(diào)整鸳劳。

聲紋＋喚醒解決方案：

從硬件解決方案角度來講，需要對(duì)整體硬件進(jìn)行重新的設(shè)計(jì)開發(fā)也搓，難度相對(duì)較大赏廓，且周期長，對(duì)于存量用戶無法保證絕對(duì)安全傍妒。這里引入另外一種思路——通過聲紋+喚醒的方案來保證個(gè)人或家用設(shè)備不被陌生語音攻擊幔摸。

聲紋識(shí)別是一種通過語音信號(hào)提取代表說話人身份的相關(guān)特征（如反映聲門開合頻率的基頻特征、反映口腔大小形狀及聲道長度的頻譜特征等）颤练，進(jìn)而識(shí)別出說話人身份等方面的技術(shù)既忆。它廣泛應(yīng)用于信息安全、電話銀行嗦玖、智能門禁以及娛樂等領(lǐng)域患雇。

聲紋識(shí)別所提供的安全性可與其他生物識(shí)別技術(shù)（指紋、掌形和虹膜）相媲美宇挫，且只需麥克風(fēng)即可苛吱，對(duì)設(shè)備無額外特殊要求，數(shù)據(jù)采集極為方便捞稿，造價(jià)低廉又谋，是最為經(jīng)濟(jì)、可靠娱局、簡便和安全的身份識(shí)別方式彰亥，并且是唯一可用于遠(yuǎn)程控制的非接觸式生物識(shí)別技術(shù)。

目前衰齐，已有部分語音技術(shù)廠商推出此類方案的服務(wù)任斋，其中就包括科大訊飛。 基于該方案耻涛，用戶只需對(duì)自己的智能語音設(shè)備說 3～4 遍喚醒詞废酷，便可完成聲紋注冊(cè)，使用方法與目前的語音喚醒方式保持一致抹缕。另外澈蟆，科大訊飛遠(yuǎn)場聲紋喚醒技術(shù)已經(jīng)成熟，相關(guān)產(chǎn)品方案也在研發(fā)之中卓研，將喚醒詞作為聲紋識(shí)別的文本趴俘，實(shí)現(xiàn)喚醒后對(duì)喚醒人身份的鑒別睹簇。科大訊飛將會(huì)在不久后正式公布該具體方案寥闪。

本文經(jīng)「訊飛智能平臺(tái)」授權(quán)發(fā)表太惠，略有刪減