Набирая пароль на компьютере во время общения через Zoom, можно стать жертвой кибератаки, утверждается в исследовании, показавшем, что искусственный интеллект может определить, какие клавиши нажимаются, подслушивая звук набора текста.
По мнению экспертов, с ростом использования таких средств видеоконференций, как Zoom, и повсеместным распространением устройств со встроенными микрофонами возросла и угроза кибератак, основанных на звуках.
Теперь исследователи утверждают, что им удалось создать систему, которая может определять, какие клавиши нажимаются на клавиатуре ноутбука, с точностью более 90%, основываясь только на записи звука.
«Я вижу, что точность таких моделей и таких атак только возрастает», — сказал д-р Эсан Торейни, соавтор исследования из Университета Суррея, добавив, что, поскольку смарт-устройства с микрофонами становятся все более распространенными в домашних хозяйствах, такие атаки подчеркивают необходимость общественных дискуссий по вопросам управления искусственным интеллектом.
В исследовании, опубликованном в рамках Европейского симпозиума IEEE по безопасности и конфиденциальности, рассказывается о том, как Торейни и его коллеги использовали алгоритмы машинного обучения для создания системы, способной определять, какие клавиши нажимаются на ноутбуке, по звуку — подход, который исследователи в последние годы применили в шифровальном устройстве Enigma.
В исследовании сообщается, как исследователи нажимали каждую из 36 клавиш MacBook Pro, включая все буквы и цифры, 25 раз подряд, используя разные пальцы и с разным давлением. Звуки записывались как по телефону Zoom, так и на смартфон, расположенный на небольшом расстоянии от клавиатуры.
Затем часть данных была передана в систему машинного обучения, которая со временем научилась распознавать особенности акустических сигналов, связанных с каждой клавишей. Пока неясно, какие именно подсказки использовала система, но первый автор исследования Джошуа Харрисон из Даремского университета считает, что, возможно, большое влияние оказало то, насколько близко клавиши находились к краю клавиатуры.
«Эта позиционная информация может быть основной движущей силой различных звуков», — сказал он.
Затем система была протестирована на остальных данных.
Результаты показали, что в 95% случаев при записи телефонного разговора и в 93% случаев при записи разговора по Zoom система могла точно определить правильную клавишу для звука.
Исследование, автором которого также является доктор Марьям Мехрнежад из Лондонского университета Royal Holloway, не является первым, в котором показано, что нажатие клавиш может быть идентифицировано по звуку. Однако, по словам авторов, в их исследовании использованы самые современные методы и достигнута самая высокая на сегодняшний день точность.
Хотя исследователи утверждают, что их работа представляет собой доказательную базу и не использовалась для взлома паролей —для этого необходимо правильно угадывать последовательности нажатий клавиш — или в реальных условиях, например, в кафе, они говорят, что эта работа подчеркивает необходимость бдительности, отмечая, что, хотя ноутбуки — с их похожими клавиатурами и распространенным использованием в общественных местах — подвержены высокому риску, подобные методы подслушивания могут быть применены к любой клавиатуре.
Исследователи добавляют, что существует ряд способов снижения риска таких акустических «атак через побочные каналы», включая использование биометрических паролей или активацию систем двухэтапной верификации.
В противном случае рекомендуется использовать клавишу shift для создания смеси верхнего и нижнего регистров или цифр и символов.
«Очень трудно понять, когда кто-то отпускает клавишу shift, — говорит Харрисон.
Профессор Фенг Хао из Университета Уорика, не принимавший участия в новом исследовании, говорит, что людям следует быть осторожными и не набирать на клавиатуре конфиденциальные сообщения, включая пароли, во время разговора по Zoom.
«Помимо звука, визуальные изображения едва уловимых движений плеча и запястья могут также передавать побочную информацию о клавишах, набираемых на клавиатуре, даже если клавиатура не видна с камеры», — сказал он.