聽鍵盤聲就能盜你密碼!
聽鍵盤聲就能盜你密碼!英國團隊研發監聽模型,辨識精度達 95%
由英國許多大學共組的研究團隊最近訓練出一個深度學習模型,藉由辨認電腦鍵盤的打字聲來取得資訊,準確率高達 95%;而藉由 Zoom 視訊通話來辨認打字聲時,精準度稍降至 93%。
此種聲學資安攻擊能竊走受害者的密碼等私密資料,而且與其他旁路攻擊相比,執行起來較為簡單,隨著現在機器學習發展更進步,這類攻擊的危險性也更甚於以往。
鍵盤資安攻擊的第一步是先錄下目標鍵盤的打字聲,可透過電腦附近的麥克風,或已被惡意軟體取得麥克風權限的手機來錄音。另外,打字聲也可在 Zoom 視訊通話時被收錄。
英國研究團隊在 MacBook Pro 的 36 個鍵上各打 25 次,由距離電腦 17 公分遠的 iPhone 13 mini 來錄下每次按壓鍵盤的聲音。接著,研究員將聲音轉為波型圖和頻譜圖,並透過數據處理技術,特別加強之後可用來辨識打字聲的部分。
處理過後頻譜圖則會用來訓練圖像辨識模型「CoAtNet」,需再調整學習率和epoch 等參數,才能達到最終的精準率。實驗結果顯示透過 iPhone 錄音,辨識打字聲的精準度為 95%、Zoom 視訊為 93%,而 Skype 為 91.7%。
靜音鍵盤可躲過攻擊嗎?
這種攻擊對於靜音鍵盤仍有效,研究員建議可以在不同打字風格間交替,或使用隨機產生的密碼,也可進一步透過軟體來為打字聲套上不同聲音效果。另一種方式則是避免輸入密碼,可使用生物識別驗證或密碼管理器等。