英国的研究人员声称,他们能够以95%的准确率将笔记本电脑键盘的敲击声音转化为相应的字母。
这个95%的数字是仅仅用一部附近的iPhone就达到的。远程的方法也同样危险:通过Zoom,录制的敲击声音的准确率只下降到93%,而Skype通话仍然有91.7%的准确率。
换句话说,这是一种具有相当高的准确率、最低的技术要求和无处不在的数据泄露点的旁路攻击:麦克风,它们无处不在,从我们的笔记本电脑,到我们的手腕,再到我们工作的房间。
更糟糕的是,这三位科学家在他们的论文中说,他们已经实现了声学旁路攻击(ASCA)的准确率记录,而不依赖于语言模型。相反,他们使用了 学习和自注意力变换层来捕捉打字的声音,并将其转化为可泄露的数据。
我们之前写过一些人用麦克风来窥探别人的有趣方式,例如,使用激光麦克风和硬盘驱动器的实验。不过,最终,通过一些邦德式的恶作剧,将恶意软件安装到目标的电脑上,访问他们的数据和敲击的方式通常更容易。
防御“全自动的现场和远程ASCA”
为了将敲击声音转化为实际的字母,这些学者录制了一个人使用一部放置在17厘米远的手机在2021年16英寸的MacBook Pro上打字,并处理了声音,以获得敲击的特征。然后,这些特征被一个 学习模型分析,它将它们输入到卷积和注意力网络中,以猜测按下了哪个特定的键或键序列。
“无论是手机还是Zoom录音的分类器,在给定最少的训练数据和随机的类分布的情况下,都达到了最先进的准确率,”团队在他们的论文中说。为了增加安全隐患,“以这种方式录音不需要访问受害者的环境,在这种情况下,也不需要任何对设备或连接的渗透,”科学家们指出。
像旁路攻击这样的情况经常发生,防范并不总是容易。幸运的是,这种情况并不是不可避免地泄露数据的电力使用、CPU频率、闪烁的灯光或RAM总线,而是一个可以相对容易地缓解的老式问题,发生在电脑和椅子之间。
研究人员说,最简单的保护方法是改变自己的打字风格。研究人员指出,能够依靠触摸打字的熟练用户更难被准确地检测出来,单键识别率从64%降到了40%,因为这种技术使得打字速度更快。
对于那些不想花时间学习成为一名高效的打字员的人,团队建议使用一些额外的技巧,比如使用多种大小写的随机密码。“多种方法能够成功地识别出按下了shift键,”学者们说,但是“在我们调查的文献中,没有一篇论文能够在其他键的声音中成功地识别出shift键的‘释放峰值’。”
换句话说,混合使用大写和小写字母仍然是一个好习惯。团队还说,那些担心声学旁路攻击的人也可以使用第二个身份验证因素,以防止有人窥探敲击声音和窃取密码。
这对于密码来说是很好的,但是对于其他的秘密信息,比如公司记录或客户信息呢?为了解决这个问题,研究人员建议播放假的敲击声音来掩盖真实的声音。
在幻影键盘的敲击声中工作肯定会惹恼每个人,这就是为什么研究人员建议只在录音后将声音添加到Skype和Zoom的传输中,而不是让员工接受实时的噪音制造者。团队发现,“这种方法似乎具有最好的性能和最小的用户烦恼。”
现在,后续的研究正在使用新的录音来源,比如智能音箱,更好的敲击隔离技术和添加语言模型来使他们的声学窥探更有效。
本文译自 The Register,由 BALI 编辑发布。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )