科客点评：虚拟助手毕竟也是程序代码，被“欺骗”也是正常的。

　　智能手机上的虚拟助手可以帮助用户轻松实现很多功能，但你是否有自信它只会听你一个人的话？如果Siri或Google Now被欺骗，然后在iPhone和Android手机上执行一些未经你实际许可的任务，是不是听起来有些天方夜谭？先别笑，因为聪明的黑客们已经找到了一个特殊的方法来监控用户、或者启动二级恶意应用。

（Kasmi和Esteves通过无线电波入侵手机语音命令的实验装置）

　　据外媒报道，法国信息安全机构ANSSI发现了一种可以不被智能机使用者所注意到，即可向Siri和Google Now发送无线电指令的方法。

　　被欺骗的虚拟助手将会开始执行一些任务，比如打开一个引向部署恶意软件的网页、向吸费号码发短信或打电话、通过Facebook/Twitter/电子邮件发表垃圾消息或钓鱼邮件。

　　除非盯着屏幕，不然iPhone和Android用户很难注意到自己被攻击了。事后注意到蛛丝马迹的可能性不是很高，除非你突然意识到自己的账单费用突然大幅增长。

　　这种方法在酒吧等人群密集的地方杀伤力更大，因为此时手机通常会被放在钱包或口袋里。

　　研究员José Lopes Esteves和Chaouki Kasmi在IEEE上发表的一篇文章中写到：“可被音频诱导信号声控唤起的前沿设备，其安全将受到严重的影响”。

　　ANSSI研究组主管Vincent Strubel亦指出：“此事几乎没有限制，你能通过语音接口做到的远程，电磁信号也可以细心地做到”。

　　举例来说，当你的将带麦克风的耳机插入iPhone或Android设备之后，攻击者可将耳机当做是一个ad-hoc天线，以便将电磁波转换成欺骗操纵Siri或Google Now的语音指令。

　　攻击设备可由开源的GNU Radio、USRP软电台、放大器、以及一根天线所组成，它可轻松塞入一只双肩背包，有效覆盖半径约6.5英尺（2米）。

　　如果是装在厢式货车里的一根大天线，甚至可以将覆盖半径增加到16英尺（4米）。当然，如果你禁用了Siri或Google Now，那么这个方法就不管用了。关注科客网官方微信kekebat，获取更多精彩资讯。（cnbeta，原标题《黑客发现通过Siri和Google Now攻击手机新方法》）