本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

周末的下午，你正在家里打游戲，不曾注意到身旁的智能音箱上，多出了一個小綠點。

那是一束激光，來自窗外馬路對面的另一棟建筑。

突然，房間的燈開了。

空調(diào)、空氣凈化器、掃地機器人啟動了，手機收到了電商平臺的扣款提示，甚至你外面的車庫門也已然洞開……

而你的手機和平板電腦也突然開始發(fā)瘋，瘋狂的下載刪除不同的應用，播放奇怪的視頻和音樂，給社交軟件上的好友發(fā)奇怪的信息……

到底發(fā)生了什么？是誰，不知不覺侵入了你的生活？

其實，這是來自日本電氣通信大學和美國密歇根大學科學家的一項新發(fā)現(xiàn)：

當激光打在裝有語音助手的設備上，就可以冒充人類的語音，被麥克風轉(zhuǎn)換成電信號，悄無聲息的發(fā)出指令，控制相連的設備。

因此，那些和Google Assistant、亞馬遜Alexa、蘋果Siri相連的機器，不管是智能的燈具、門鎖、電器這些硬件設施，還是各種電商、支付、社交App，都會不知不覺間被控制。

雖然科學家們還沒有在其他品牌的語音助手上測試，不過量子位采訪到了騰訊安全團隊Tencent Blade Team，他們說：從原理上講問題大都是相通的。

不需要太強的激光，普通激光筆的強度就可以，就算距離有110米遠，就算在外面的另一棟建筑里，就算要穿過玻璃窗，都可以控制你家里的智能音箱、手機和平板們。

恐怖的演示過程

來看看科學家們的實地演示。

將命令Google Assistant打開車庫門的語句“OK Google, open the garage door”的嵌入激光中，打在智能音箱的麥克風上。

智能音箱回了一句“OK, opening”，接著車庫門就開了。

那么如果把距離設置的非常遠呢？

在第二段演示中，激光發(fā)射器和智能音箱的距離長達110米。

科學家們將詢問時間的語句“OK Google, what time is it?”的嵌入激光中，打在智能音箱的麥克風上。

“It’s 9:43”在沒有任何人發(fā)話詢問的情況下，智能音箱自己突然說了一個時間。

即使在窗外的另一棟建筑里，也不影響激光對智能音箱的控制。

在第三段演示中，科學家們將激光源挪到了遠處的一棟高高的建筑上，隔著玻璃窗發(fā)射激光，將命令Google Assistant打開車庫門的語句“OK Google, open the garage door”的嵌入激光中，打在窗口智能音箱的麥克風上。

因為這次發(fā)射點又高又遠，所以科學家們干脆給激光配了一個長焦鏡頭。

智能音箱還是順利的回復“OK, opening”，打開了車庫的門。

最后，想看三個演示的全程，可以點開視頻↓↓↓

https://www.ixigua.com/i6757897498930446852/

當然，演示中并沒有“鬼故事現(xiàn)場”的感覺，一個原因是激光可見，另一個原因是語音助手的聲音你可以聽到。

因此，科學家們也嘗試了人類肉眼看不見的紅外光，在比較近的距離是可以起到作用的；

至于，語音助手回話會被主人聽見，先用激光發(fā)個指令把音量調(diào)零，就真的悄無聲息控制一切了。

看到這里你可能疑惑，激光怎么能冒充人聲？

讓麥克風聽成人聲

故事是從去年春天開始。

來自日本的菅原健，是個研究網(wǎng)絡安全問題的科學家。他專程跑去美國，給密歇根大學的同行傅佳偉 (Kevin Fu) 教授，秀了一波自己剛剛解鎖的技能：

把一束高強度的激光，對準iPad的麥克風，然后用每秒震蕩大約1000次的正弦波，不停地調(diào)整激光的強度。

傅佳偉在一旁帶著耳機，聽麥克風收到了什么。讓人驚訝的是，他聽到了一種高頻音調(diào)。

明明是接收聲波的設備，卻把光波當成聲波接收了，這是MEMS麥克風的一個重要弱點。而大部分手機和智能音箱，都是使用MEMS麥克風，因此。

自從有了這個神奇的發(fā)現(xiàn)，菅原君就開始和傅佳偉的實驗室一起，用激光去欺騙智能音箱，攻擊各種接收語音指令的設備。

科學家說，只要用一種特定的頻率去調(diào)整激光的強度，激光便會用同樣的頻率去干擾麥克風，讓麥克風把光波解調(diào)成電信號。

就像下面這張圖，上為激光發(fā)射的信號，下為麥克風接收的信號，頻率幾乎一致：

不用指定發(fā)射位置，只要對準麥克風射出激光，麥克風就把光線轉(zhuǎn)換成電信號了，像日常把聲波轉(zhuǎn)換成電信號一樣。

當然，如果只是隨意的電信號，并不足以讓音箱乖乖聽你的話。必須讓它以為是有人類發(fā)出語音才行。

所以，研究人員還要對激光做調(diào)幅 (AM) ，讓麥克風轉(zhuǎn)出接近人類語音的信號。

就像開頭展示的那樣，他們選定了一系列指令，包括：“現(xiàn)在幾點了”“把音量調(diào)零”“買一支激光筆”“打開車庫門”等等。

然后，用這些詞句的語音波形，來定制激光的強度變化。

這樣，智能音箱收到的電信號，就會和聽到人聲的時候差不多了。

一開始，他們用60毫瓦的激光，測試了16臺不同的智能音箱。

結(jié)果，50米是成功接收的最遠距離。

攻擊手機，就稍微困難一些了：iPhone需要10米以內(nèi)，安卓手機需要5米以內(nèi)。

后來，科學家們又想測試一下，這項技術(shù)的極限在哪里。于是，把激光強度調(diào)低到了5毫瓦，相當于一支廉價激光筆的水平，把距離拉遠到110米。

雖然，許多音箱都沒有響應，但Google Home和初代Echo Plus依舊中了招，就是開頭看到的那樣。

進一步加大難度，隔著窗戶發(fā)射激光，76米距離。這次沒騙到一只Echo，但Google Home依然被騙了，堪稱碩果僅存：

至于，麥克風為什么對光波也有反應，哈佛大學電氣工程系的退休教授Paul Horowitz說，至少有兩種物理機制，可以讓麥克風把激光誤解成聲波。

一是激光的脈沖會加熱麥克風的振膜，令周圍的空氣膨脹，產(chǎn)生一種壓力。聲音也是依靠產(chǎn)生聲壓，才被麥克風捕捉到的。

二是，如果被攻擊的設備，不是完全不透光的話，光線其實可以直接穿過麥克風，直接到達芯片的所在，這樣就能把光波的振動，翻譯成電信號了。

這可能跟太陽能板里的二極管，還有光纖電纜末端的光電效應，原理一樣。如果真是這樣，想讓激光被當做語音指令，就更容易了。

另外，量子位還采訪到了騰訊的安全團隊Tencent Blade Team，他們的理解是：

這項研究和此前業(yè)界的 “海豚音攻擊”有異曲同工之妙，都是利用了麥克風的一些特殊的硬件特性進行攻擊，但這次的“光攻擊”可以從更遠距離（超過100米）發(fā)起，在現(xiàn)實生活中的攻擊利用難度更低。

攻擊的難度降低，防御的難度提升。Blade團隊認為，這項研究的意義十分重大：

從目前公開的信息來看，廠商很難從軟件層面對這個漏洞進行徹底修復，之前安全圈內(nèi)也沒有MEMS麥克風會將光信號轉(zhuǎn)換為電信號相關(guān)的安全研究，這項研究還是具有很高的創(chuàng)新性與實戰(zhàn)意義。

怎樣才能不被黑？

看到這樣的攻擊效果，谷歌和亞馬遜很快就回應了：

谷歌說，已經(jīng)在仔細觀察這次的研究成果，并且強調(diào)一直對保護用戶、提升設備的安全性能非常重視。

亞馬遜也發(fā)表了聲明說，正在看論文，后面將會和作者們交流，更深入地了解這項研究。

在廠商們給出補救措施之前，研究人員先為他們提供了一些友善的建議：

比如，可以設置讓用戶先輸入語音密碼，解鎖后才能發(fā)布指令。

比如，可以在麥克風周圍加上光屏蔽，抵擋激光的攻擊。

再比如，在音箱兩側(cè)依靠兩個麥克風同時接收指令，然后對比。因為兩個麥克風，很難同時被擊中。

當然，對產(chǎn)品做出這樣的升級，還需要不少時間。

而你現(xiàn)在能做的就是，不要把智能音箱放在黑客能看到的地方。

不然，還是去用那些需要解鎖的設備吧，人臉解鎖和指紋解鎖都能起到保護作用，避免語音助手接收到黑客的指令。

騰訊Blade Team還提示，最好關(guān)閉聲紋識別 (因為聲紋也可以用激光冒充) ，也可以在設備外部的麥克風口貼上黑色標簽紙，阻擋激光攻擊。

作者們

一作菅原健，就是從日本跑到美國炫 (mian) 技 (ji) 的那一位，電子通信大學 (UBE) 的準教授。

傅佳偉 (Kevin Fu) ，密歇根大學的教授，專注攻擊各種AI。量子位之前報道過一種把硬盤改造成竊聽器的方法，也是他參與的研究。難怪，菅原君會不遠萬里去找他。

Daniel Genkin，密歇根大學助理教授。他和傅佳偉都是這項研究的負責人。

另外，還有兩位作者，他們是傅佳偉教授實驗室的成員，Benjamin Cyr以及Sara Rampazzi。