Stačí ke klávesnici počítače umístit mikrofon, vytrénovat program a pak lze s poměrně velkou přesností určit podle zaznamenaného zvuku, která klávesa byla stisknuta. Mikrofonů je dnes u počítače mnoho – například v mobilních telefonech, ale i vlastních počítačích.
Britští vědci dokonce zkoušeli pro trénink algoritmu klasifikace požít zvuk zaznamenaný pomocí videokonferenčního softwaru Zoom. Přesnost předpovědi pak klesla na 93 %, což je stále nebezpečně vysoká hodnota, která je pro toto médium rekordní.
.png)
Každá klávesa vydává trochu jiný zvuk.| Zdroj: A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards
Takový „zvukový“ útok vážně ovlivňuje zabezpečení dat cíle, protože by mohl způsobit únik hesel, diskusí, zpráv nebo jiných citlivých informací lidí třetím stranám. Navíc na rozdíl od jiných útoků vedlejšími kanály, které vyžadují zvláštní podmínky a podléhají omezením rychlosti přenosu dat a vzdálenosti, se akustické útoky staly mnohem jednoduššími díky velkému množství zařízení s mikrofonem, která mohou dosáhnout vysoce kvalitního zachycení zvuku.
To v kombinaci s rychlým pokrokem v oblasti strojového učení činí zvukové útoky založené na vedlejších kanálech proveditelnými a mnohem nebezpečnějšími, než se dříve předpokládalo.
Jak by mohl proběhnout útok
Prvním krokem útoku je nahrávání stisků kláves na klávesnici cíle, protože tato data jsou potřebná pro trénování predikčního algoritmu. Toho lze dosáhnout prostřednictvím mikrofonu v blízkosti nebo telefonu cíle, který mohl být infikován malwarem, jenž by následně získal přístup k jeho mikrofonu.
Alternativně lze stisky kláves zaznamenat prostřednictvím hovoru přes Zoom, kdy nepoctivý účastník schůzky provede korelaci mezi zprávami psanými cílem a jejich zvukovým záznamem. Výzkumníci shromáždili tréninková data tak, že na Apple MacBooku Pro stiskli 25krát 36 kláves a zaznamenali zvuk vydané při každém stisku.
Poté z nahrávek vytvořili průběhy a spektrogramy, které vizualizují identifikovatelné rozdíly pro každou klávesu, a provedli specifické kroky zpracování dat, aby rozšířili signály, které lze použít k identifikaci stisků kláves. Obrázky spektrogramů byly použity k tréninku "CoAtNet", což je obrazový klasifikátor, přičemž tento proces vyžadoval určité experimentování s parametry, dokud nebylo dosaženo nejlepších výsledků přesnosti predikce.
Při svých pokusech vědci použili stejný notebook, jehož klávesnice se v posledních dvou letech používá ve všech noteboocích Apple, smartphone iPhone 13 mini umístěný 17 cm od cíle a také aplikaci Zoom. Klasifikátor CoANet pak dosáhl 95 % přesnosti z nahrávek pořízených chytrým telefonem a 93 % z nahrávek pořízených pomocí aplikace Zoom. Při použití aplikace Skype dosáhl nižší, ale stále použitelné přesnosti 91,7 %.
Jak se bránit útoku
Uživatelé, kteří se obávají tohoto typu útoků, mohou podle článku zkusit změnit styl psaní nebo používat náhodná hesla. Mezi další možná obranná opatření patří použití softwaru pro reprodukci zvuků stisknutých kláves, bílého šumu nebo softwarových zvukových filtrů stisknutých kláves.
Model útoku se ukázal jako vysoce účinný i při použití velmi tiché klávesnice, takže přidání tlumičů zvuku na mechanické klávesnice nebo přechod na membránové klávesnice pravděpodobně nepomůže. Jako zmírňující faktory nakonec slouží také používání biometrického ověřování, pokud je to možné, a využívání správců hesel, aby se obešla nutnost ručního zadávání citlivých informací.
Zdroj : A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards, Bleeding computer
video
