英国网络安全研究人员发现了一种新的黑客攻击方法:记录计算机键盘发出的声音。
研究人员使用附近的打字员智能手机进行录音,并用它来训练声音分类模型,实现了95%的准确率,以找出实际按下的键。
他们称之为声学侧信道攻击,它可能被用来从目标的计算机中窃取密码和其他关键数据。如果通过参与电话会议的不良行为者通过 Zoom 会议远程录制声音,则准确率会略有下降。更好的麦克风、频繁使用智能手机和机器学习的进步相结合,使这成为可能。
波形和声音频谱图用于可视化,然后训练打字键之间的差异,如下图所示,该研究论文于8月3日在arXiv上发表,arXiv是学术文章的开放档案平台。
这不是黑客第一次使用这样聪明的方法来监视和提取信息。也许世界领先的侧信道攻击研究机构可以在以色列贝尔谢瓦的本古里安大学发现,该大学已经找到了十几种不同的方法来提取信息,即使PC没有连接到任何明显的信息,使用所谓的“气隙”。
该术语用于指出未明显连接到互联网的孤立计算机 - 例如,通过Wifi网络 - 或其他物理方式。这是高度敏感的典型情况,例如涉及安全机构的情况或各方担心窃听其工作的情况。
BGU团队发现了基于跟踪计算机上闪烁的LED灯,WiFi信号的频率变化,图形处理单元内部风扇的声音,电力波动和使用USB连接的攻击。所有这些都用于收集以前被认为是私有且无法窥探的数据。
犯罪分子总是使用电磁频谱的各个部分 - 在英国团队的情况下,声音 - 来窥探。想想高度敏感的吊杆麦克风,它可以监听街对面另一栋大楼的对话,在许多间谍惊悚片中使用情节线。尽管以色列研究人员的一些技巧可能超出了正常的努力或人们所期望的可能,但只要有正确的工具和隐身,就可以做到。
这个故事让人想起了冷战时期的一次复杂攻击,苏联间谍在IBM Selectric打字机内放置了特殊的电子设备来监控它们。
英国研究人员提出了一些建议,以阻止攻击者窃取用户的击键。一种是改变一个人的打字风格。另一个是它有助于成为触摸打字员。此外,用户应该使用字母和符号的随机组合作为他们的密码,因为使用当前的机器学习技术很难猜测它们。最后,播放背景声音可以帮助掩盖按键发出的声音,但它也可能分散注意力。
其实早在几年前,研究人员就发现了黑客可以通过窃听不同按键发出的声音来猜测密码。