10月31日至11月4日，被稱為網(wǎng)絡(luò)安全領(lǐng)域頂級(jí)學(xué)術(shù)會(huì)議的ACM CCS (Conference on Computer and Communications Security) 2017在美國(guó)達(dá)拉斯召開。浙江大學(xué)電氣工程學(xué)院智能系統(tǒng)安全實(shí)驗(yàn)室徐文淵教授團(tuán)隊(duì)的論文DolphinAttack: Inaudible Voice Commands（海豚音攻擊：聽不見的聲音指令）被評(píng)為5篇最佳論文（5/846）之一。這是來(lái)自中國(guó)高校的論文首次獲選最佳論文。

ACM CCS，與IEEE S&P、Usenix Security和NDSS并稱計(jì)算機(jī)安全領(lǐng)域“四大安全頂級(jí)會(huì)議”（簡(jiǎn)稱四大），每年都有來(lái)自國(guó)內(nèi)外頂級(jí)高校以及研究機(jī)構(gòu)的眾多研究人員投稿和參會(huì)。據(jù)主辦方介紹，本次會(huì)議共接收到來(lái)自全世界高校和實(shí)驗(yàn)室的846篇論文，經(jīng)過三輪篩選，錄用151篇，并選出11篇論文候選最佳論文。最終，徐文淵團(tuán)隊(duì)的論文獲最佳論文獎(jiǎng)（Best Paper Award）。

在這篇論文中，徐文淵團(tuán)隊(duì)在世界上率先指出了目前普遍存在于智能設(shè)備中的麥克風(fēng)的一個(gè)硬件漏洞，利用這個(gè)漏洞，黑客可以“黑”進(jìn)智能設(shè)備的語(yǔ)音助手系統(tǒng)，讓語(yǔ)音助手接收并執(zhí)行超聲波指令。這項(xiàng)發(fā)現(xiàn)在多個(gè)智能設(shè)備中得到驗(yàn)證。

DolphinAttack也稱為“海豚音攻擊”，可以通過無(wú)聲的語(yǔ)音指令控制語(yǔ)音助手執(zhí)行相應(yīng)的操作，例如: 無(wú)聲地開啟語(yǔ)音助手、撥打任意電話、發(fā)短信、視頻通話，以及將手機(jī)切換到飛行模式等，甚至操作奧迪汽車的導(dǎo)航系統(tǒng)。論文研究分析了多達(dá)17種不同類型的設(shè)備，包括Apple、Google、亞馬遜、阿里巴巴、三星、華為等品牌的手機(jī)、平板和筆記本電腦、智能手表、智能音響，分析了7種語(yǔ)音助手，包括Siri、Alexa、Google Now、Cortana、S Voice，HiVoice、天貓精靈，并成功地實(shí)現(xiàn)了攻擊?！昂ｋ嘁艄簟笨梢栽谟脩敉耆恢榈那闆r下對(duì)用戶的智能設(shè)備進(jìn)行任意惡意操作，受影響的智能設(shè)備種類眾多、范圍極廣。

為了盡快解決安全隱患，實(shí)驗(yàn)室研究人員已經(jīng)將存在的隱患以及相應(yīng)的解決方案告知了包括谷歌、蘋果、微軟、亞馬遜、三星和華為在內(nèi)的生產(chǎn)廠商，收到了他們的積極回復(fù)和后續(xù)的深度合作邀請(qǐng)。

浙江大學(xué)電氣學(xué)院系統(tǒng)安全實(shí)驗(yàn)室（USSLAB）依托于浙江大學(xué)電氣工程學(xué)院在電氣、電子和電網(wǎng)方面的基礎(chǔ)平臺(tái)，充分發(fā)揮電氣和計(jì)算機(jī)、硬件和軟件相交叉的研究思路，在包括物聯(lián)網(wǎng)、嵌入式系統(tǒng)、智能電網(wǎng)安全等領(lǐng)域開展了深度的研究，并取得了優(yōu)秀的成果。

關(guān)于“海豚音攻擊”的科學(xué)解讀，詳情請(qǐng)見：http://ocalamedicalequipmentrepair.com/2017/0911/c4960a637706/page.htm

（張國(guó)明 朱原之）