Новое исследование, опубликованное рядом британских исследователей, раскрывает гипотетическую кибератаку, в ходе которой хакер может использовать аудиозапись того, как человек печатает, для кражи его личных данных. В атаке используется самодельный алгоритм, основанный на глубоком обучении, который может акустически анализировать шумы при нажатии клавиш и автоматически расшифровывать то, что печатает этот человек. Исследование показало, что таким образом ввод текста может быть точно декодирован в 95 процентах случаев.
Исследователи говорят, что такие записи можно легко получить с помощью микрофона мобильного телефона, а также с помощью приложения для конференц-связи Zoom. После этого запись может быть передана в легко скомпилируемый алгоритм, который анализирует звуки и переводит их в читаемый текст.
Это интересная вариация того, что технически известно как “атака по акустическому боковому каналу”. Акустические атаки (которые используют звуковое наблюдение для сбора конфиденциальной информации) не новое явление, но интеграция возможностей искусственного интеллекта обещает сделать их намного более эффективными при краже данных. Большая угроза, с точки зрения исследователей, заключается в том, что хакер смог бы использовать эту форму подслушивания, чтобы получить информацию, связанную с паролями пользователя и учетными данными в Интернете. По мнению исследователей, на самом деле это довольно легко сделать, если киберпреступник развернет атаку в правильных условиях. Они пишут:
“Наши результаты доказывают практичность этих атак по побочным каналам с использованием готового оборудования и алгоритмов...Повсеместное распространение звуковых излучений клавиатуры делает их не только легко доступным вектором атаки, но и побуждает жертв недооценивать (и, следовательно, не пытаться скрыть) их вывод ”.
Вы определенно можете представить ряд сценариев, в которых злоумышленник мог бы осуществить это и перехватить данные незадачливого пользователя компьютера / телефона. Поскольку модель атаки основана на аудиозаписи действий жертвы, злоумышленник может гипотетически дождаться, пока вы окажетесь на публике (например, в кафе), а затем тайно подглядывать с безопасного расстояния. С другой стороны, если у злоумышленника были высококачественные параболики или другие сложные подслушивающие устройства, они могли даже проникнуть сквозь стены вашей квартиры.
Как защитить себя от акустической атаки с клавиатуры?
Честно говоря, это не совсем понятно. В своей статье исследователи предлагают ряд защитных тактик, которые, к сожалению, кажутся не очень осуществимыми для обычного пользователя Интернета. К ним относятся:
- Используя “рандомизированные пароли с несколькими вариантами ввода”, что, по-видимому, может нарушить согласованную интерпретацию уязвимых учетных данных для входа. Учетные данные с полными словами легче расшифровать.
- Исследователи также предполагают, что в сценариях, когда запись может быть сделана во время голосового вызова, “добавление случайно сгенерированных поддельных нажатий клавиш к передаваемому звуку, по-видимому, обеспечивает наилучшую производительность и наименьшее раздражение пользователя”.
- Исследователи также предполагают, что “простого изменения стиля ввода может быть достаточно, чтобы избежать атаки”.
- Наконец, исследователи предлагают просто чаще использовать биометрические механизмы входа, чем пароли, поскольку это отодвигает на второй план всю проблему хакерской записи звука, связанного с вашим введенным паролем.
Я думаю, что очень мало вероятности того, что большинство людей будут использовать поддельные шумы при наборе текста или полностью изменят свой “стиль набора текста”, просто надеясь, что это может выдать какого-нибудь акустического шпиона, притаившегося поблизости. Конечно, биометрия в целом - хорошая идея, хотя она не отменяет потенциальной угрозы, которую обычно представляет акустический шпионаж. Я думаю, лучшее, что мы можем сделать, это надеяться, что это гипотетическая угроза и что на свете не слишком много таких хакеров, которые действительно попытались бы сделать что-то подобное.
