Найти тему
Цифровой чай
410 подписчиков

Ушки на клавиатурушке

5 минут
4 прочтения
Оглавление

Ох, уж эти пароли. Все норовят их украсть. Подсмотреть, перехватить, подобрать. А теперь - и подслушать.

О чём речь?

Коллеги из США разработали способ "подслушивать" текст, который вы набираете на клавиатуре. Основывается он на том, что звук нажатия каждой клавиши индивидуален, и для того, чтобы распознать вводимый текст, достаточно слушать с помощью микрофона, как вы щёлкаете клавиатурой и производить соответствующий анализ.

Справедливости ради надо отметить, что сама идея такой атаки не нова, "слушать" клавиатуру пытались и раньше, но важным моментом была привязка к конкретной клавиатуре (чуть ли не до экземпляра). Новаторство предложенного метода заключается в привлечении для анализа искусственного интеллекта (да-да, снова ИИ). Благодаря этому, во-первых, значимо увеличивается эффективность анализа звуков, а во-вторых (что важнее) - появляется возможность успешно "слушать" любую, даже незнакомую клавиатуру.

Сначала ИИ просто слушает, как вы набираете текст и учится, сопоставляя звучание каждой клавиши с вероятной буквой (этот метод основан на особенностях языка, статистической частоте употребления букв в словах и многократно обкатан криптографами с целью взлома шифров ещё задолго до распространения компьютеров). Спустя какое-то время ИИ научится сопоставлять каждому звуку нажатия клавиши верную букву. Да, такое обучение требует, чтобы вы напечатали под чутким ухом ИИ пару томиков "Войны и мира" для набора нужного количества статистических данных (условно, на самом деле меньше). Но кто мешает обучить ИИ заранее, на наиболее популярных моделях клавиатур? Имея базу знаний, ИИ быстро приспособится к вашему конкретному экземпляру клавиатуры и вашим особенностям ввода. Недаром разработчики данного метода экспериментировали над "прослушкой" MacBook - одного из наиболее популярных ноутбуков в США.

Как слушать вашу клавиатуру?

И здесь самое интересное. Если раньше атаки, направленные на перехват вводимых данных, производились путём заражения вашего компьютера вредоносными программами, то предложенный метод позволяет перехватить информацию со "стерильного" компьютера.

Вариант 1

Звонки через Zoom, Skype и т.п. Вредоносная программа стоит на компьютере вашего собеседника, перехватывает аудио-поток вашего общения, включая звуки вашей клавиатуры, и анализирует их. Точность распознавания вводимого текста при таком сценарии достигает 92-93%. Да, для того, чтобы слить свои данные таким образом, вы должны набирать пароли или иную чувствительную информацию во время подключенной конференции в условном Zoom. Не знаю, планировали ли вы это делать раньше, но теперь точно не делайте.

Вариант 2

Рядом с вашим "стерильным" компьютером мирно лежит на столе ваш (или не ваш) заражённый смартфон и через его микрофон вредоносная программа слушает, что вы набираете на клавиатуре компьютера. Как вариант - рядом есть другое устройство с микрофоном и доступом в Интернет ("Алиса, привет!"). И такой сценарий интересен тем, что вы чувствуете себя в безопасности, а продолжаться эта ситуация соседствования чистого и заражённого устройств может часами (днями). За это время ИИ и обучится хорошо, и вероятность того, что вы наберёте что-то важное, кратно возрастает. Точность распознавания вводимого текста в сценарии со смартфоном-прослушкой достигает 95%.

Для тех, кто хочет детально погрузиться в нюансы - вот ссылка на оригинальное исследование (PDF, английский), всегда приветствую работу с первоисточниками.
Для остальных - перевариванием подобной абракадабры как раз и занимается для вас "Цифровой чай" 😉

Как защищаться?

Ладно, испугались. И как быть?
Сразу отметим, что говоря о методах защиты от данной атаки, мы предполагаем, что устройство, на котором вы набираете текст - "чистое". Если предположить его заражение, тогда из без прослушки клавиатуры открывается уйма методов увести ваши данные, гораздо более простых.

Итак:

  • Не набираете чувствительную информацию при подключенном сеансе видео- или аудио-конференции
  • Уберите из комнаты другие устройства с микрофоном и доступом в Интернет (это вообще полезно, если хотите сказать вслух что-то не для третьих лиц).
  • Используйте для набора паролей на компьютере экранную клавиатуру (программа, в которой для набора текста вы будете кликать мышкой по отображаемым на мониторе клавишам с буквами-цифрами, т.е. физическая клавиатура не задействуется вовсе).
    У смартфонов и планшетов - встроенный иммунитет к данной угрозе, т.к. у них только экранная клавиатура и есть (разве что количество набираемых символов можно подслушать, если включен виброотклик).
  • Включайте белый шум или просто музыку, когда печатаете донесения в иностранную разведку что-то важное. Можно громко петь "Интернационал".
  • Используйте менеджер паролей для ввода паролей - либо через Copy-Paste, либо через расширение для браузера (подробно об этом говорили тут).
  • По возможности используйте для входа в учётные записи т.н. второй фактор — дополнительную информацию, без обладания которой даже перехват вашего пароля не даст злоумышленнику возможности войти в ваш аккаунт.

Выбор из предложенных методов — по своему уровню паранойи вкусу.

Подводя итог, можно отметить, что перед нами очередной пример того, как развитие технологий (в данном случае - искусственного интеллекта) способно в чём-то упростить жизнь, а в чём-то создать новые проблемы. Обоюдоострая штука — эти ваши технологии.

UPDATE:

Поступил вопрос от подписчика по теме. Отвечаю.

Вопрос:
А вот как прослушка через телефон будет понимать, что именно сейчас я ввожу пароль, а не просто печатаю текст в соцсети?

Ответ:
Да, этот фактор усложняет дело злоумышленнику, но не должен сильно успокаивать бдительного пользователя.

Во-первых, если есть дополнительные данные о времени вашего входа в какой-то аккаунт, это легко сопоставить с тем, что вы набирали на клавиатуре в это время. Но для этого либо ваш компьютер должен быть заражён (тогда и так дело труба), либо речь идёт о целевой атаке на конкретного человека, чтобы добывать эти данные другими способами (маловероятно для большинства жертв, но оценивайте такой риск применительно к себе индивидуально).

Во-вторых, ИИ может заподозрить, что сейчас вы набрали пароль, исходя из логики вводимого текста. Пароль, так или иначе, будет выделяться из общего потока, даже если это вдруг фраза на русском языке. А уж фразу "AsDedfk213jn&" вы вряд ли просто так набираете 😉 А если перед этим ещё и логин набрали.. А если логин - это адрес вашей почты.. Ну, вы поняли.

И в третьих, не только пароли могут быть интересны злоумышленникам. Например, предметом интереса может быть содержание вашей переписки или материал, над которым вы работаете. В т.ч. на компьютере, который вообще не подключен к Интернету!

Да и вообще - была бы база для анализа, а выудить что-то полезное из потока набираемого текста всегда можно (к сожалению для жертвы). А как раз в направлении эффективного анализа больших массивов данных мы сейчас активно движемся.

============
Мы в Telegram - здесь. «Цифровой чай». Про IT доступно.


Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Кибербезопасность
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Гаджеты и электроника
5,73 млн интересуются