編者按：說出來你可能不信，普通的燈泡也可能泄露你的秘密對話。最新研究成果表明，一種新型竊聽聲音的側道攻擊方法可以通過利用遠程光電傳感器觀察懸掛式燈泡對聲音的頻率響應并測量其發出的光量來監視遠程位置的秘密對話。該新型攻擊方法名為Lamphone，其工作原理是通過對準燈泡的電光傳感器以光學方式捕獲微小的聲波，然后利用該聲波恢復語音。與之前相關聲音竊取攻擊方法(Visual Microphone、Laser Microphone、Gyrophone)相比，Lamphone方法具有較小的成本、較遠的距離、較高的恢復成功率等明顯優勢。

　　以色列內蓋夫本古里安大學(Ben-Gurion University of the Negev)學者Ben Nassi、Yaron Pirutin、Yuval Elovici、Boris Zadov以及魏茨曼科學研究所(Weizmann Institute of Science)研究人員Adi Shamir(RSA密碼算法發明人之一)近日發布研究論文，稱其發明了一種新型側道攻擊技術，竊聽者可以使用該技術利用受害者房間內懸掛的燈泡來恢復聲音。此前，以色列古里安大學Cyber@BGU實驗室曾研究過多項竊聽技術，利用的設備包括電腦硬盤、風扇、屏幕、非電腦部件等。

　　在該論文中，研究人員展示了懸掛式燈泡表面上的氣壓波動(響應聲音)是如何引起燈泡波動的。竊聽者可以利用它輕微振動(毫米級振動)來被動的、實時的從外部恢復語音和聲音。研究人員通過電光傳感器分析懸掛燈泡對聲音的響應，并將音頻信號與光信號分離。根據研究人員的分析，開發了一種算法，可從通過燈泡振動獲得并由電光傳感器捕獲的光學測量結果中恢復聲音。該研究成果也將在八月份舉行的Black Hat USA 2020會議上介紹。

　　Lamphone攻擊原理

　　該方法的核心原理是檢測由于聲波撞擊其表面而自然產生的氣壓波動所引起的懸掛燈泡的振動，并測量燈泡輸出的微小變化，這些微小的振動觸發這些變化以拾取會話片段并識別音樂。

　　研究人員表示，“我們假設受害者位于裝有懸掛式燈泡的房間/辦公室內。我們認為竊聽者是一個有意監視受害者的惡意行為者，目的是捕獲受害者的對話并利用對話中提供的信息，例如竊取受害者的信用卡號，根據所披露的私人信息進行勒索受害人

等?！?/span>

　　如上圖所示，受害人房間①發出的聲音snd(t)在懸掛燈泡②的表面上產生波動。竊聽者通過望遠鏡③將電光傳感器對準懸掛的燈泡。經由ADC④從電光傳感器采樣光學信號opt(t)，并將其處理為恢復的聲學信號snd*(t)⑤。

　　為了實現這一目標，使用的裝置包括：一個望遠鏡，可從遠處觀察包含燈泡的房間的近景;一個安裝在望遠鏡上以將光轉換成電流的電光傳感器;一個將傳感器輸出轉換為數字信號的模數轉換器;以及一臺筆記本電腦，用于處理傳入的光信號并輸出恢復的聲音數據。所有裝備的成本少于一千美元。

　　該竊聽方法可以從房間外恢復房間內的任何聲音，而無需入侵任何東西，也無需在房間內安裝任何設備。

　　Lamphone攻擊演示

　　在真實的測試場景中，Lamphone在距有燈泡懸掛的目標房間25米的橋上成功地恢復了特朗普的講話“We will make america great again”，可通過Google Cloud Speech API準確識別出來;另外還恢復出了甲殼蟲樂隊的“Let It Be”和Coldplay的“Clocks”，且可由Shazam和SoundHound之類的歌曲識別服務準確識別。

　　研究人員針對Lamphone進行了測試，其目標是位于辦公樓三樓的一間辦公室。房間里有一個懸掛的E27 LED燈泡(12瓦)，幕墻覆蓋了整個建筑物，從而減少了辦公室發出的光量。

　　在25米外的人行天橋上，研究人員將電光傳感器(Thorlabs PDA100A2，一種放大的可切換增益光傳感器，將光轉換為電壓)安裝在具有不同透鏡直徑(10、20、35 cm)的望遠鏡上。傳感器一次安裝在一臺望遠鏡上。

　　研究人員表示，“電壓是通過16位ADC NI-9223卡從電光傳感器獲得的，并在我們編寫的LabVIEW腳本中進行了處理。實驗人員在辦公室里播放的聲音無法在竊聽者的位置聽到?！?/p>

　　利用這種設置，研究人員設法通過使用從單個望遠鏡獲得的光學測量結果，成功恢復了通過辦公室揚聲器播放的兩首歌曲和一句話。

　　研究人員表示，由于可以使用以低分辨率(一個像素樣本)輸出信息的光電傳感器來恢復聲音，因此可以在實時場景中使用Lamphone。

　　盡管如此，該技術仍有一些局限性。在測試中，研究人員使用的是懸掛式燈泡，還不清楚安裝在固定燈或天花板上的燈泡是否會振動得足以產生相同的音頻信號。在演示中使用的語音和音樂錄音也比一般人的對話響亮，揚聲器調到最大音量。

　　研究人員使用了相對便宜的電光傳感器和模數轉換器，并且可能會升級到更昂貴的傳感器以進行安靜的對話。LED燈泡的信噪比大約是白熾燈泡的6.3倍，熒光燈泡的70倍。

　　盡管研究人員只能恢復25米外的聲音，但研究人員認為，更好的設備(更大的望遠鏡，24/32位ADC等)可以使攻擊者擴大范圍。

　　下面是研究人員發布的PoC視頻。

　　Lamphone方法的優勢

　　與其他竊聽方法相比，如Visual Microphone、Laser Microphone、Gyrophone以及Hard Drive of Hearing，該新技術擁有許多優勢。原先的竊聽方法需要放置設備、靠近受害者、或者必須在無法快速檢測到的情況下才能在現實世界中使用。

　　可視麥克風(The Visual Microphone)是由麻省理工學院、Microsoft Research以及Adobe Research 2014年共同研究的方法，可從視頻中被動恢復聲音。當聲音撞擊物體時，會引起物體表面的微小振動。該方法可僅使用物體的高速視頻，來提取這些微小的振動并部分恢復產生振動的聲音，從而能夠將日常物體，如一杯水、一盆植物、一盒紙巾或一袋薯片成為可視麥克風。

　　基于視頻的技術雖然用途廣泛得多，因為它不需要在房間里看到燈泡，但在錄制視頻后，需要使用軟件對視頻進行分析，以將物體中觀察到的細微振動轉換為所聽到的聲音。相比之下，Lamphone方法使用的是懸掛式燈泡，不需要獲得高分辨率數據(可視麥克風樣本是RGB矩陣)。相反，Lamphone以較低分辨率(一個像素)輸出信息的電光傳感器足以恢復聲音。因此，可以將Lamphone應用于實時場景中進行實時監控。由于振動的物體本身就是光源，因此電光傳感器可以用更簡單的視覺數據來提取振動。

　　激光麥克風(Laser Microphone)是一種利用激光束探測遠處物體聲音振動的監視裝置,可以用來竊聽，但曝光的機會很小。該物體通常位于正在進行對話的房間內，可以是任何能夠響應房間內存在的噪音所產生的壓力波而振動的對象，例如墻上的圖片。物體最好有一個光滑的表面，以便光束被準確地反射。激光束通過窗戶射入房間，反射出物體，然后返回到接收器，接收器將光束轉換為音頻信號。

　　激光麥克風設備需要竊聽者將激光束引到受害者的房間，因此需要專用的光學傳感器進行檢測從物體反射回來的定向激光束。Lamphone是完全被動的，不需要使用專用的光學傳感器來檢測分析從物體反射的定向激光束。

　　其他恢復聲音的方法，如Gyrophone(利用手機中的陀螺儀)及Hard Drive of Hearing(利用磁性硬盤驅動器)，會要求在受害者身邊放置設備。這些方法要求竊聽者在受害者的物理位置附近放置設備，以便獲得可用于恢復聲音的數據以及提取原始/處理的數據。Lamphone方法與之相比，燈泡完全是在外部的，不需要特別放置竊聽設備。

　　參考資源：

　　【1】 https://www.nassiben.com/lamphone

　　【2】 https://thehackernews.com/2020/06/lamphone-light-bulb-spy.html

　　【3】 https://www.securityweek.com/new-eavesdropping-technique-relies-light-bulb-vibrations

　　【4】 http://people.csail.mit.edu/mrub/VisualMic/

　　【5】 https://cyber.bgu.ac.il/spies-can-eavesdrop-by-watching-a-light-bulbs-vibrations/