幾篇名為“語音助手存在重大漏洞，黑客可以這樣攻擊你的手機(jī)”以及“海豚攻擊，攻破你的語音助手”等類似文章廣泛傳播，文章中提到已攻陷了包括Siri、Alexa、Cortana、GoogleAssistant等知名語音助手，讓大家對(duì)語音交互的安全性不免又增添疑慮。

今天，我們特意邀請(qǐng)了了科大訊飛資深科學(xué)家、研究院副院長王海坤來給大家解析一下什么是“海豚攻擊”，它的產(chǎn)生原因和潛在威脅，以及如何化解這個(gè)所謂的“重大安全漏洞”。

1什么是“海豚攻擊”

這個(gè)名詞源于論文“DolphinAttack: Inaudible Voice Commands”，該文章已經(jīng)被網(wǎng)絡(luò)安全領(lǐng)域四大學(xué)術(shù)會(huì)議之一的ACM CCS（Conference on Computer and Communications Security）接收，目前已經(jīng)可以在arxiv上下載到。

這里面的關(guān)鍵詞“DolphinAttack”，即“海豚攻擊”源于一種現(xiàn)象，即海豚能發(fā)出超聲波來攻擊目標(biāo)魚群進(jìn)行覓食，而這種攻擊也正是借助了超聲波。

提到超聲，這里先科普一下聲音信號(hào)的頻帶分布、相應(yīng)的名稱和性質(zhì)。

當(dāng)物體振動(dòng)時(shí)會(huì)發(fā)出聲音。每秒鐘振動(dòng)的次數(shù)稱為聲音的頻率，它的單位是Hz。我們?nèi)祟惗淠苈牭降穆暡l率為20Hz～20KHz。當(dāng)聲波的振動(dòng)頻率大于20KHz小于20Hz時(shí)，我們就聽不見了。

我們把頻率高于20kHz的聲波稱為“超聲波”。超聲波具有方向性好，穿透能力強(qiáng)，易于獲得較集中的聲能，在水中傳播距離遠(yuǎn)等特點(diǎn)，通常用于醫(yī)學(xué)診斷的超聲波頻率為1MHz～5MHz。

頻率低于20Hz的聲音稱為次聲。次聲特點(diǎn)是來源廣、傳播遠(yuǎn)、穿透力強(qiáng)，不容易衰減，不易被水和空氣吸收。某些頻率的次聲波由于和人體器官的振動(dòng)頻率相近，容易和人體器官產(chǎn)生共振，對(duì)人體有很強(qiáng)的傷害性，危險(xiǎn)時(shí)可致人死亡。

這篇文章里提到的“海豚攻擊”就是用到了超聲的基本原理，其技術(shù)實(shí)現(xiàn)思路是：

步驟1：把正常的頻率范圍的語音信號(hào)（用于語音識(shí)別的語音一般是16KHz采樣，由奈奎斯特率可知其信號(hào)的最高頻率是8KHz，這里稱為Baseband信號(hào)），利用幅度調(diào)制的方法把Baseband信號(hào)調(diào)制到超聲范圍，該超聲信號(hào)稱為載波（Carrier）。

這么做主要目的是把信號(hào)調(diào)制到被攻擊的用戶無法聽到的超聲波范圍。下面就是幅度調(diào)制的原理圖。

步驟2：利用超聲發(fā)射器來發(fā)射調(diào)制后的超聲信號(hào)，沖擊被測(cè)設(shè)備。通過設(shè)備端自身的錄音系統(tǒng)實(shí)現(xiàn)對(duì)Baseband信號(hào)的解調(diào)，從而實(shí)現(xiàn)對(duì)設(shè)備的控制。

搭建一套這樣的超聲沖擊測(cè)試系統(tǒng)，需要以下幾個(gè)設(shè)備：

信號(hào)源：用來產(chǎn)生Baseband測(cè)試信號(hào)，用普通手機(jī)就可以。

信號(hào)發(fā)生器：用來產(chǎn)生超聲信號(hào)，并把Baseband信號(hào)調(diào)制相應(yīng)的中心頻率。

功率放大器：用來對(duì)超聲載波信號(hào)進(jìn)行功率放大。

超聲揚(yáng)聲器：用來播放超聲載波信號(hào)。

文章中還提到可以做成一個(gè)簡化裝置，成本在3美元以下：

根據(jù)文章作者的介紹，該系統(tǒng)成功實(shí)現(xiàn)了對(duì)于Siri、Alexa、Cortana、Google Assistant的控制，甚至奧迪Q3的語音功能也能操控，進(jìn)行了打開飛行模式，撥打特定號(hào)碼等操作。

基于此，文中觀點(diǎn)認(rèn)為“基于該漏洞，黑客可以實(shí)現(xiàn)利用它上一些惡意網(wǎng)站，利用它打一些亂七八糟的電話。甚至，如果有些系統(tǒng)里的語音購物、支付功能夠便捷，分分鐘你的錢就沒了”。

2“海豚攻擊”為什么能實(shí)現(xiàn)

這里我們來分析一下我們常見支持語音控制的系統(tǒng)，包括手機(jī)、汽車、智能硬件有什么缺陷，導(dǎo)致讓黑客可以有機(jī)可乘。

首先看一下我們的語音控制系統(tǒng)的錄音（VoiceCapture）有哪些環(huán)節(jié)：

從上圖種可以看到，錄音系統(tǒng)包括了：

a）麥克風(fēng)：Microphone，用于把聲壓信號(hào)轉(zhuǎn)換為模擬電信號(hào)。

b）放大器：Amplifier，用于模擬信號(hào)的增益放大。

c）低通濾波器：Lowpass Filter，用于過濾高頻無用的信號(hào)。

d）模數(shù)轉(zhuǎn)換器：ADC，用于把模擬信號(hào)采樣為數(shù)字信號(hào)。

在錄音系統(tǒng)的各個(gè)環(huán)節(jié)中，“海豚攻擊”有幾處風(fēng)險(xiǎn)可以利用：

a） 該文章作者的觀點(diǎn)是，麥克風(fēng)本身的非線性會(huì)對(duì)載波信號(hào)實(shí)現(xiàn)部分解調(diào)。

b）實(shí)際上更為重要的原因在于目前主流的設(shè)備的錄音系統(tǒng)一般采用的是一階低通濾波器，過渡帶太寬，從而導(dǎo)致高頻信號(hào)不能有效的過濾；再加上市面上大部分的錄音設(shè)備的ADC的抗混疊濾波效果有限，導(dǎo)致帶外信號(hào)被混疊到Baseband里面，從而客觀上實(shí)現(xiàn)了信號(hào)的解調(diào)。

3“海豚攻擊”的局限性分析

上面談到了“海豚攻擊”實(shí)現(xiàn)的基本原理。但是經(jīng)過我們的分析，這種“漏洞”雖然理論上存在風(fēng)險(xiǎn)，但是實(shí)現(xiàn)代價(jià)較大，且整體可行性較低，大家不必過于恐懼。下面我們?cè)賮矸治鲆幌滤軐?shí)現(xiàn)的效果的局限性：

局限性1： 測(cè)試設(shè)備發(fā)射要求高，不易隱藏作案。

首先，該系統(tǒng)需要一個(gè)大功率且大尺寸的信號(hào)發(fā)生器來生成高質(zhì)量的超聲信號(hào)；同時(shí)，目前的普通麥克風(fēng)對(duì)20KHz以上的信號(hào)頻響衰減非常大，這就要求超聲信號(hào)的發(fā)射功率有相當(dāng)大的發(fā)射功率。

這篇文章中使用的超聲發(fā)射器可以支持到300MHz的頻率范圍，超聲播放的聲壓級(jí)達(dá)到了125dBL，這種情況下普通的簡化裝置的放大器和喇叭是實(shí)現(xiàn)不了的。

局限性2： 攻擊距離很短，智能家居產(chǎn)品不受影響。

同樣是由于目前普通麥克風(fēng)對(duì)20KHz以上的信號(hào)頻響衰減非常大，在聲壓級(jí)是125dBL的播放的超聲信號(hào)下（這個(gè)音量已經(jīng)需要非常專業(yè)播放設(shè)備了），實(shí)驗(yàn)的最遠(yuǎn)沖擊距離只有1.75m，對(duì)于大部分設(shè)備超過0.5m就沒有響應(yīng)了，再加上超聲信號(hào)沒有穿墻能力，因此對(duì)于放在家中的智能硬件設(shè)備是沒有任何影響的。對(duì)于攜帶到公共場(chǎng)所的手機(jī)和可穿戴設(shè)備則有一定的“風(fēng)險(xiǎn)”。

局限性3： 攻擊語音質(zhì)量很低，效果和單個(gè)硬件相關(guān)。

如前面我們的分析，由于解調(diào)后的信號(hào)畢竟是經(jīng)過低通濾波器，導(dǎo)致各頻帶都是有不同程度衰減的，且大部分ADC都有抗混疊濾波，因此最終設(shè)備端解調(diào)進(jìn)來的Baseband信號(hào)失真很嚴(yán)重，信噪比也不會(huì)很高。

攻擊效果也跟硬件本身相關(guān)，比如麥克風(fēng)型號(hào)、低通濾波器的實(shí)現(xiàn)方式和效果、ADC抗混疊效果和采樣頻率都是相關(guān)的。想要達(dá)到好的效果必須根據(jù)實(shí)際的硬件來調(diào)節(jié)載波頻率，信號(hào)強(qiáng)度等參數(shù)，這對(duì)于公共場(chǎng)所游走作案，且不知道被攻擊者使用的什么設(shè)備的情況下是比較難以實(shí)現(xiàn)的。

4聲紋+語音喚醒，完美解決“海豚攻擊”

通過上面的分析，我們知道“海豚攻擊”只是在理論上存在風(fēng)險(xiǎn)，但是有沒有辦法來從根本上解決該問題，做到萬無一失呢？這里就從硬件設(shè)計(jì)和軟件實(shí)現(xiàn)上談一下解決方案。

硬件解決方案：

a）再增加一個(gè)低通濾波器，進(jìn)一步減少高頻成分的泄露。

b）采用抗混疊更好的ADC，進(jìn)行更嚴(yán)格的抗混疊測(cè)試。

c）采用更高的采樣頻率，比如采樣率是16K的話，16~24K的信號(hào)就能混疊進(jìn)來。如果采樣率是48Khz的話，要24Khz以上的信號(hào)才有可能混疊進(jìn)來。實(shí)際上24Khz信號(hào)要發(fā)射和采集都要困難很多。

d）采用動(dòng)態(tài)的采樣頻率，讓攻擊者無法及時(shí)調(diào)整。

聲紋＋喚醒解決方案

從硬件解決方案上可以看出來需要對(duì)整體硬件進(jìn)行重新的設(shè)計(jì)開發(fā)，難度相對(duì)較大，且周期長，對(duì)于存量用戶無法保證絕對(duì)安全。我們這里引入一種思路——通過聲紋+喚醒的思路來保證個(gè)人或家用設(shè)備不被陌生的語音攻擊。

聲紋識(shí)別是一種通過語音信號(hào)提取代表說話人身份的相關(guān)特征（如反映聲門開合頻率的基頻特征、反映口腔大小形狀及聲道長度的頻譜特征等），進(jìn)而識(shí)別出說話人身份等方面的技術(shù)。它廣泛應(yīng)用于信息安全、電話銀行、智能門禁以及娛樂等領(lǐng)域。

聲紋識(shí)別所提供的安全性可與其他生物識(shí)別技術(shù)（指紋、掌形和虹膜）相媲美，且只需或麥克風(fēng)即可，無需特殊的設(shè)備，數(shù)據(jù)采集極為方便，造價(jià)低廉，是最為經(jīng)濟(jì)、可靠、簡便和安全的身份識(shí)別方式，并且是唯一可用于遠(yuǎn)程控制的非接觸式生物識(shí)別技術(shù)。

科大訊飛在聲紋識(shí)別方面一直處于技術(shù)領(lǐng)先的地位。 在2008年6月，訊飛參加NIST（美國標(biāo)準(zhǔn)技術(shù)研究院）舉辦的說話人識(shí)別聲紋識(shí)別大賽（SRE）中，在3項(xiàng)關(guān)鍵指標(biāo)中，獲得兩項(xiàng)第一，一項(xiàng)第三，綜合評(píng)比第一的好成績。

目前科大訊飛推出的聲紋+喚醒的方案用戶只需要對(duì)著自己的硬件設(shè)備說出3~4遍喚醒詞即可完成聲紋注冊(cè)。使用的時(shí)候，用戶也只需要對(duì)設(shè)備說出語音喚醒詞即可，和目前的語音喚醒方式保持一致，不會(huì)帶來用戶的使用成本。

聲紋識(shí)別正確率達(dá)到98%，目前基于訊飛的數(shù)字密碼聲紋引擎，已經(jīng)成功用于中國移動(dòng)飛云業(yè)務(wù)。

目前我們的遠(yuǎn)場(chǎng)聲紋喚醒技術(shù)已經(jīng)成熟，相關(guān)產(chǎn)品方案也在研發(fā)之中，將喚醒詞作為聲紋識(shí)別的文本，實(shí)現(xiàn)喚醒后對(duì)喚醒人身份的鑒別。