快禁用“语音助手”!黑客可利用超声波劫持所有主流语音识别平台

幸运草
幸运草
幸运草
896
文章
3
评论
2020年5月16日20:25:04 评论 78

假如你的智能手机开始打电话,发信息并浏览恶意网站,那是什么情况呢?这不是想象的事情,因为黑客可以通过手机语音助手实现这一操作。

来自中国浙江大学的一个安全团队发现了一种无需机主说话就激活语音识别系统的方法,而且此法适用于所有主流语音助手。

此法被取名为“海豚攻击”,攻击者将超声波频率导入语音助手的指令中,这种指令人类听不见,但却能被智能设备捕捉。

具备这一技术,网络罪犯就可以悄无声息地劫持Siri和Alexa等语音助手,而且可迫使语音助手打开恶意网站,甚至可能打开智能锁。

所有主流语音识别平台受影响

这种攻击适用于所有主流语音识别平台,影响的移动平台包括iOS和安卓系统。所以,无论你是用苹果还是Nexus还是三星,你的设备都存在风险。海豚攻击适用于一切语音助手,包括Siri,谷歌语音助手,三星S语音,华为HiVoice,Cortana以及Alexa,还有iPads,MacBook,亚马逊Echo甚至是奥迪Q3,总共16款设备,7种系统,无一幸免。

利用人耳不停听到的声波

此攻击利用了人耳不能接收20kHz频率以上声波的特性。但是麦克风软件可以检测20kHz频率以上的声波。海豚攻击使得语音助手很容易被劫持。

所以,为了展示海豚攻击,该团队首先将人声指令转变成超声波频率,然后再用配备了声波放大器的智能机回放指令,而超声波转译器和电池总售价不超过三美元(约人民币20元)。

攻击者利用这种技术可以做什么?

由于智能手机可以让用户通过语音指令完成大量操作,比如拨号,发信息,打开网页,将电话调成静音模式,所以研究者可以命令iPhone拨出特殊号码。

然而,攻击者还可以发送超声波指令让设备执行恶意操作,包括浏览恶意网页,并且可以从这样的网页发起下载驱动型攻击或者利用所劫持设备的零日漏洞进行攻击。

攻击者还可以进行:

  • 监听操作——让劫持的设备拨出视频通话或拨出电话,然后就能获得访问设备图片和声音的权限。
  • 输入虚假信息——攻击者可以让被劫持设备发送虚假信息,邮件并发布虚假帖子,或在日历中假如虚假事件。
  • DoS——可输入指令将设备调成飞行模式,从而断开所有WiFi连接。

可操作范围

掩饰攻击——由于屏幕显示和声效都会暴露攻击,所以攻击者可通过调暗屏幕和调低音量掩饰自己的攻击行为。研究者们通常发送的超声波频率是25到39kHz。攻击范围最大可达175厘米,具有很好的可操作性。

更糟糕的是,即便是攻击者没有直接访问设备的情况下,这种人耳听不见的指令在所有被测硬件上可以被语音识别系统准确翻译。

如果防御海豚攻击?

浙江大学这个安全团队建议设备厂商做一些硬件替换,将设备调整为自动忽略频率为20kHz的指令或者任何其他不能被人耳听到的指令。

研究者表示,“要改进麦克风,使其能拒绝任何超声波信号。例如iPhone 6 Plus的麦克风就能很好地防御人耳不能识别的指令。”

对于终端用户而言,防御这类攻击的快速方案是在官方补丁出来之前,关闭有语音助手的应用。

关闭语音应用简单步骤

  • 禁用iPhone:

iPad或iPod touch上的Siri:进入“设置”页面→点击“通用”→点“访问限制”→Siri,禁用Siri即可。

  • 关闭Cortana:

打开Windows PC端的Cortana,选择右边的Notebook图标,点设置,然后禁用Cortana。

  • 关闭亚马逊Echo的助手Alexa:

关闭顶部元件的麦克风按钮,指示灯会变成红色,Echo就会停止响应你的唤醒指令,直到你再把麦克风打开。

  • 关闭Google Home:

将Google Home的麦克风静音,按住后部的物理静音键。

该团队将会把自己的完整研究上报到下个月于德州达拉斯举行的“电脑与通讯安全”ACM会议上。。

特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
SQLMap-常用命令 伪静态

SQLMap-常用命令

前端SEO优化 一、搜索引擎工作原理 在搜索引擎网站的后台会有一个非常庞大的数据库,里面存储了海量的关键词,而每个关键词又对应着很多网址,这些网址是被称之为“搜索引擎蜘蛛”或“网络爬虫”程序从茫茫的互联网上一点一点下载收集而来的。随着各种各样网站的出现,这些勤劳的“蜘蛛”每…SQLMap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 sqlmap支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测。 SQLMap支持五种不同的注入模式: l  基于布尔的盲注,即可以根据返回页面判断条件真假的注入; l  基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断; l  基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中; l  联合查询注入,可以使用union的情况下的注入; l  堆查询注入,可以同时执行多条语句的执行时的注入。 SQLMap指令很多,可以使用-h来查看。在这列出一些常用的命令: 1.检查URL是否能注入: sqlmap -u http://……php?id=0 2.获取网站当前数据库名:sqlmap -u http://……php?id=0 --current-db 3.检查 DBMS 版本:sqlmap -u http://……php?id=0 -f 4.猜解表:sqlmap -u http://……php?id=0 --tables 5.枚举系统中所有的数据库:sqlmap -u http://……php?id=0 --dbs(当数据库为Access直接枚举tables) 6.枚举指定数据库的数据表:sqlmap -u http://……php?id=0 -D test --tables 7.枚举指定数据库中指定表的列:sqlmap -u http://……php?id=0 -D test -T admin --columns 8.枚举指定数据库中指定表中的指定列的内容:sqlmap -u http://……php?id=0 -D test -T admin -C username,password --dump 9.获取当前数据库密码:sqlmap -u http://……php?id=0 --passwords 10.枚举 DBMS 用户权限:sqlmap -u http://……php?id=0 --privileges 11.获取一个 sql-shell 会话:sqlmap -u http://.......php?id=0 --sql-shell (直接输入 sql 命令回车就执行了!输入 x 或 q 按回车即可退出 sql-shell。前提是权限允许!!!) 12.获取一个 os-shell 会话:sqlmap -u...
观察 | 整体聊一聊搜索引擎的收录机制 优化

观察 | 整体聊一聊搜索引擎的收录机制

之前说过要给大家说说搜索引擎的收录。不过说收录机制,主要也是对Google和百度这么多年的观察,做个比较观察,主要是从观察的经验的角度来说。至于什么搜索引擎一步步的收录的步骤机制,可以去网上查资料。   一般来说,肯定是内容被收录的越多,搜索引擎导入过来的搜索流量就越大。一般情况是很难违背这个定律的。   因为这个原因。所以我们在做SEO的过程当中,当然就是希望能够产生出更多的带有目标关键词的页面。只要这些页面能够被搜索引擎收录,就有很大的可能性带来更多的流量。   对于老的具有不错权重基础的站点来说,这里面有一个关键问题,就是:是不是只要页面被收录了,就会有排名?不需要过长时间的排名等待。   这个问题。曾经对于Google来说是是,但现在不是。对于百度来说,现在还是是,但有所减弱。这个问题会牵扯出搜索引擎技术现状。就是有没有把收录和排名剥离开来。就是收录是收录,排名是排名。   曾经在2007年,我们操作的一个企业网站的SEO项目,这个网站是一个有历史时间的基础老站点。我们给站点制定了内容策略,整体导入了3万篇内容。这些内容被百度和Google收录的很快,然后在一周的时间内,这些页面就大部分都获得了排名了。   这些页面的内容质量还比较高,是二级目录的页面,所以锁定的关键词还不是长尾关键词。但也非常快的获得排名了。   然后再到2010年,我们操作的另外一个行业门户网站。通过给门户网站增加了一个问答频道,在较短的时间给问答导入了100万数据。当百度收录到60万数据的时候,百度导入过来的流量就已经超过了每天20万UV的流量。   这两个案例情况就表示搜索引擎并没有将大量数据的收录和排名进行剥离。这其实很容易会导致一些黑帽SEO的攻击。例如短时间导入数千万内容。   但是在这个问题上,搜索引擎是不是没有预防措施,是有的。但是是滞后的。在门户网站快速获得了这些流量后,第二年,我们观察在问答的流量在慢慢下降。因为时间太长,这有可能已经是搜索引擎更新了新算法导致也是有可能。但是第一个我们说的企业站的那个案例,丝毫不受影响。   我很早的时候有一个预判,就是搜索引擎关于收录和排名的机制发展就是:大量收录,收录等于排名,收录不等于排名。三个步骤演化。   因为老站点的权重的关系。一个大型门户老站点,如果在8个月时间内导入了200万的数据是很容易能够在一个比较短的时间内获得至少10-20万的日UV流量。这其实是一种漏洞。   在Google的历史上,也曾出现过网站导入过亿的数据被收录从而获得大量的流量的例子发生。   现在来看,Google似乎已经到了收录不等于排名的阶段,百度还不完全是。   也正是解决了这些问题,Google才会在收录机制上反应的更快速,更快的收录网站的新页面。而如果没有能够有效剥离,那对新内容的收录就要慎重很多。两者在结果上会出现这个差异化。   第二点:收录是不是要依靠权重还是靠发现。   我们通常被鼓励多做网站地图,多配合使用各种通知搜索引擎有数据更新的推送功能。这些东西,按照我的观点。我是觉得作用并不大的,只不过技术实现上并不难,所以做了比没做好。但要真正讨论,我认为作用是不大。   一个新站点的收录可以依靠被发现。但是新站点的内页被收录,更多就是依靠内容质量与网站权重了。   所以要提高收录量,重点还是要把关好网页的内容质量,做好网站结构,提升网站的权重。   对于新站点来说,重要的是做内容质量和网站结构的优化。   第三点:收录的配额问题。   尽管在百度搜索资源平台都出现过关于网站收录的配额这个说法。但我认为还是认为,多少可以忽略掉这个。   官方一篇文章中的观点是:   由于Baiduspider对每个站点的抓取额是有限定的,所以这些垃圾搜索结果页被百度收录,会导致其它有意义的页面因配额问题不被收录,同时可能因百度处理垃圾页面而影响网站正常排名。   这里面提到了抓取额和配配额两个问题。抓取额肯定是存在的,就是搜索引擎蜘蛛来访的是不是足够频繁。SEO提倡每天更新网站,实际的目的之一就是希望搜索引擎蜘蛛来的更频繁。也就是提高这个抓取额。   但网站收录的配额,我觉得是可以忽略的。因为首先一个网站,你当然要注意别出现垃圾内容的问题。不管是自己产生的,还是被人攻击产生的垃圾内容,这个问题都是要注意的。   所以最终只剩下一个情况,就是你必须要给网站产生有意义的页面。如果你能产生1万张都是有意义的页面,那我们为什么会考虑这个所谓配额的问题,只要网站的问题没出现收录障碍。那么有意义的页面不被收录,就是搜索引擎有问题。   第四点:大家要经常用site:看收录情况。   以百度搜索资源平台查看索引量的界面和功能设计,它是不给你直接展示你网站具体的页面收录URL。你可以定义目录一个个的去查,但这也是需要你主动去定制。如果你没定制到,就查不了。   所以,建议要经常用site:看收录,这是检查下网站的收录有没有异常。有没有出现一些低质量的页面被收录了,或者一些你没想到的环节出现了差错导致被搜索引擎收录了很多页面。因为搜索引擎的蜘蛛是比你更了解你的网站。   我基本上每天都会site看页面,然后再点一些分页看看情况。如果出现了异常情况,就能够及时发现,然后屏蔽掉。   在黑链猖獗的时期,也是通过每天查网站的收录,有没有被黑。
从开始到网站收录我用了10天 网站

从开始到网站收录我用了10天

今天不知道写点啥?最近好像陷入了一个写作的盲区,每天起来对着电脑得发一会呆,然后才能将就的写完一篇文章。昨晚睡觉太晚了,导致今天早上起来都快11点了,吃了中午饭才晃晃悠悠的来到公司开启自己一天的工作。 我发现人只要一闲下来真的很容易生事,老话常说无事生非,没事干了就想找点事做。就想前两天喝了点酒然后在大街上跟人干了起来,结果蹲了几天小黑屋,哎,假酒害人啊。 回到主题,今天照例打开电脑准备写文章时,突然想到我的网站已经建了有将近十天了,还不知道成啥逼样了,以前建过一个影视站,开始还不错,后来是因为下载的那个源码有漏洞导致我网站的的数据崩溃了,所以后面那个站也就直接丢到一边了,有了那次教训我这次建站用的都是正规的源码,主题和程序,主要是怕了。今天打开站一看首页居然收录了,我感到很高兴,因为我这次用的是个新域名,百度这次收录的速度还是不错。 我知道我做那个影视站的时候差不多一个多月才收录我的首页,而且我那个还是用的老域名。然后就想着今天不行咱们就讲讲建站吧。好歹也是门技术活。 关于建站可能有的小伙伴在网上找了很多的建站的教程,看了很多的建站视频。但是如果你不去做的话,那你看的学的也是啥用没有的。学而不做一场空。 一个网站对于互联网从业者来说意义不仅仅在于赚钱,其实里面还有着更深层次的意义,简单点就是你在互联网上的一个象征,自己的一个信任背书。虽然我在互联网上也混有5年了,网站以前也帮别人建过几个,但是那时候就是简简单单想着帮别人建站来赚点零花钱,从来没有想过自己来建一个网站。主要今年见到了一个大佬提醒了我,他说“你以后想要在互联网上走的更远的话你自己最好建一个网站,然后每天去更新它,就像养自己的孩子一样。到后面你会感谢这个网站给你带来的一切的”后来想了想确实,以后想要在互联网上走的更远的话网站确实是必不可少的。于是我建了这个站,好了,今天咱们接下来就简单的讲讲这个网站的基本建设。 一个网站由三部分组成,域名,空间,程序。 域名 域名在互联网上相当于你家的门牌号,人们只有通过你家的门牌号才能在找到你家,才能来你家串门,走亲戚,虽然来到不一定都是亲戚。 域名分为顶级域名,二级域名,三级域名。要是不知道的人可能会有一脸的蒙逼。我们就拿qq来举例。 这样的话大家应该就一目了然了。一般我们个人只需要做顶级域名就可以了,如果后面网站壮大的话可能会用到二级域名。 域名还分为国内域名和国际域名两种。 国内域名就是以cn结尾的域名,国际域名就是com结尾的域名。 关于域名的购买我建议你去购买国际域名,再者就是去大的平台购买。首先服务有保障,其次平台有保证,不容易跑路。这些年见过不少跑路的平台。大的购买平台有很多,比如阿里云,腾讯云,华为云等等,这些其实都可以。如果你是第一次购买的话建议你去腾讯云,因为便宜。如果你做的是带点颜色的项目的话,可以去买国外的域名,主要是好搬迁,国外购买的话一般都是在godaddy上面去购买。 空间 所谓空间就是放网站资源的地方,相当于你家里面的储存室。 严格来说空间只是个统称,它包括虚拟空间,vps,服务器。他们之间的关系就是,服务器>vps>空间。这里指的是安全性以及各项性能。 如果我们是自己建的网站的话我们一般是用虚拟空间或者是vps。如果是企业平台用站的话一般是要自建服务器。空间还包括带宽,流量,ip,cpu,硬盘等等。这个根据你自己的需要来购买,一般情况下如果是个人站的话空间咱就不说了,咱们主要说一下vps,两核2G,1兆,40G硬盘前期完全够用了,后期的话可以升级。Ip不论空间还vps尽量购买独立ip。这个性能方面也就这些,以后要是想到其他的再补充上来。 再有关于空间购买晓林建议你现购买香港的空间或者vps,因为国内的空间是需要你去备案的,不然是用不了的,前期网站很容易降权,等到网站收录了再去备案也可以,主要是节省时间。 程序 市面上的程序有很多,主要是看你做哪种类型的网站的。下面都是些各种网站常用的程序。 个人博客    wordpress  zblog 企业       dedecms  帝国cms  phpcms 论坛      discuz    phpwind 商城      ecshop       shopex 电影      马克斯cms   苹果cms 分类信息网   php168     齐博分类信息 地方门户    163k       齐博地方门户 这些你要是都搞明白的话你就可以开始你的建站之旅了。 首先你要将域名解析到你的空间,空间绑定你的域名。不会的话可以咨询你购买空间域名的服务商,他们会帮你解决的。 然后就上传你的程序到你的空间里面。一般你如果买的是空间的话你需要用到flashftp软件这个软件。如果你买的是vps的话你最好用cuteftp因为这个比较稳定,我一直用的就是这款软件。有的vps可能自带有上传功能,那就不需要使用第三方的软件了。 然后上传你的程序到你空间之后解压就可以了。至于里面其他的细节你可以去观看我的课程,一般里面都会有详细的讲解。 这样你的网站基本就完成了,后面的就是去选自己的主题以及修改自己的主题,添加栏目页以及其他的内容页,这个会在后面详细的讲解。 一个网站的建设其实很简单的,难就难在坚持以及如何去运营好这个网站,但是如果你能给他坚持做下去相信它给你的回报会令你满意的。 ?这波不亏,此网站收录有895个黑科技工具! 小喵百宝库分享是一种美德  嗨喽艾维巴蒂下午好 好久不见 又到了分享福利的时间 下午闲来无事 生活浑浑噩噩 不知道是天气原因 还是生理原因 老是浑身无力 头昏眼花还犯困 那些都没什么 更文还是要的 码字码不死就往死里码 话不多说,现在来看看 今天这个黑科技网站…
数数那些适合小白使用的电脑技巧 使用技巧

数数那些适合小白使用的电脑技巧

用手机当电脑摄像头的方法有时候,家里的台式机需要用到摄像头,可是家里又没有怎么办?莫非要花钱买一个?其实大可不必,一部智能手机和一款软件即可帮你轻松搞定。 首先,我们要在网上下载一款名为iVCam的软件。之所以推荐此软件,原因在于其体积小、无广告,安卓版的才3.5m。如果你在应用商店… 同 类 型 软 件 只 安 装 一 个 安装软件大部分时候都会写系统的注册列表,即使不启动,也会影响系统性能。如果你装了三四个杀毒软件,又装了五六个视频播放软件的话,会十分影响系统的功能。因此,同类型软件找一个自己习惯用的就好。 软 件 安 装 路 径 统 一 安装软件的时候统一路径且每个软件最好有一个自己单独的文件夹,在软件卸载以后,如果有残留文件,就能大胆的清理掉。如果总是随便安装,在软件卸载之后,就分不清哪些文件是残留的,越积越多。     拒 绝 软 件 全 家 桶 安装软件时,不要安装它的附加软件。 很多软件在安装的时候会默认同时安装自家的全家桶,如果你一直点下一步而略过隐含选项的话,最后会添加很多不必要的软件。   定 期 清 理 电 脑   虽然电脑管家类的软件会对系统性能有一定的影响,但还是得用啊,一周清理一下,补漏洞、查病毒,对保持电脑性能来说还是很重要的。 减 少 开 机 自 启 动 项 软件在安装的时候一般会默认选择开机启动,时间一长,开机自启动的软件就越来越多,直接导致开机时间越来越长,如果每次都要3、5分钟才能开机,真的会让人感到焦躁。因此,一定要记得关闭软件开机自启动。 访 问 正 规 网 站 浏览不正规的网站经常会出现小广告弹窗和一些假链接,甚至会有中病毒的危险,一定要访问正规网站。     正 确 使 用 电 脑 你是不是喜欢用力的合上电脑屏幕,使劲敲键盘,不关机就拔电源线,带电脑出去的时候不注意轻拿轻放,这些坏习惯都可能会导致电脑开不了机。     定 期 清 理 灰 尘 在电脑断电的情况下,可以小心的清理CPU风扇和散热口附近的灰尘,保持干燥,小心留有水分的话可能会短路烧坏电脑。史上最简单笔记本选购攻略(建议收藏)提问之前,先让你们看看现在市场上的笔记本主要分为哪几类: 低端本 基本上充斥在2000-4000元的价位,可能实体店5000多也有。不是我说,这类本子的特点就是,难看、难用、性能差。 基本长这样↓,黑色,大塑料,屏幕瞎眼 ▲戴尔灵越飞匣14 大家能不买就不买吧…