Krađa podataka uz pomoć akustike
Tim istraživača sa britanskih univerziteta obučio je model dubokog učenja koji može da ukrade podatke od pritisaka na tastaturu snimljenih pomoću mikrofona, sa tačnošću od 95%.
Akustični napadi su postali mnogo jednostavniji zbog obilja uređaja sa mikrofonom
Kada je Zoom korišćen za obuku algoritma za klasifikaciju zvuka, tačnost predviđanja je pala na 93%, što je i dalje opasno visoko i rekord za taj medij. Takav napad ozbiljno utiče na bezbednost podataka cilja, jer može da ukrade lozinke, diskusije, poruke ili druge osetljive informacije zlonamernim trećim licima. Štaviše, za razliku od drugih napada na bočne kanale koji zahtevaju posebne uslove i podložni su ograničenjima brzine prenosa podataka i udaljenosti, akustični napadi su postali mnogo jednostavniji zbog obilja uređaja sa mikrofonom koji mogu da postignu visokokvalitetno snimanje zvuka. Ovo, u kombinaciji sa brzim napretkom u mašinskom učenju, čini napade na bočne kanale zasnovane na zvuku izvodljivim i mnogo opasnijim nego što se ranije očekivalo.
Slušanje pritiska na tastere
Prvi korak napada je snimanje pritiska na tastere na tastaturi mete, jer su ti podaci potrebni za obuku algoritma predviđanja. Ovo se može postići preko obližnjeg mikrofona ili telefona mete koji je možda bio zaražen malverom koji ima pristup mikrofonu. Alternativno, pritisci na tastere se mogu snimiti putem Zoom poziva gde lažni učesnik sastanka pravi korelacije između poruka koje je ukucao cilj i njihovog zvučnog zapisa.
Istraživači su prikupili podatke o obuci pritiskom na 36 tastera na modernom MacBook Pro-u po 25 puta i snimanjem zvuka proizvedenog svakim pritiskom. Zatim su proizveli talasne oblike i spektrograme iz snimaka koji vizualizuju prepoznatljive razlike za svaki taster i izvršili specifične korake obrade podataka kako bi povećali signale koji se mogu koristiti za identifikaciju pritisaka na tastere. Slike spektrograma su korišćene za obuku ‘CoAtNet’, koji je klasifikator slika, dok je proces zahtevao izvesno eksperimentisanje sa parametrima epohe, brzine učenja i podele podataka dok se ne postignu najbolji rezultati tačnosti predviđanja. U svojim eksperimentima, istraživači su koristili isti laptop, čija se tastatura koristi u svim Apple laptopovima u poslednje dve godine, iPhone 13 mini postavljen 17 cm od mete i Zoom.
CoANet klasifikator je postigao 95% tačnosti na osnovu snimaka pametnog telefona i 93% od onih snimljenih pomoću Zoom-a. Skype je proizveo nižu, ali još uvek upotrebljivu tačnost od 91,7%.
Moguća ublažavanja
Za korisnike koji su previše zabrinuti zbog akustičnih napada na bočne kanale, članak sugeriše da mogu da pokušaju da promene stilove kucanja ili koriste nasumične lozinke. Druge potencijalne odbrambene mere uključuju korišćenje softvera za reprodukciju zvukova pritiska na tastere, belog šuma ili softverskih audio filtera za pritiskanje tastera.
Zapamtite, model napada se pokazao veoma efikasnim čak i protiv veoma tihe tastature, tako da dodavanje prigušivača zvuka na mehaničke tastature ili prelazak na tastature zasnovane na membrani verovatno neće pomoći.
Na kraju, korišćenje biometrijske autentifikacije gde je to izvodljivo i korišćenje menadžera lozinki da se zaobiđe potreba za ručnim unosom osetljivih informacija takođe služe kao olakšavajući faktori.
Izvor: Bleepingcomputer