黑客利用電腦或手機的麥克風與揚聲系統,竊取設備密碼信息。(圖片来源: JACK GUEZ/AFP via Getty Images)
【看中國2023年8月22日訊】(看中國記者程帆編譯綜合報導)根據最近發布的一份研究報告,AI(人工智能)通過監聽用戶在電腦或手機上的擊鍵,就可以獲得密碼,其準確率可高達95%。
網路設備隨時可被「駭」
據福克斯新聞的報導,由紐約康奈爾大學發布的這份調查顯示,分別來自英國杜倫大學、薩裡大學和皇家哈洛威學院的團隊做了三個實驗,訓練AI用「聆聽」任何帶有麥克風的裝置,來識別輸入的資訊。
研究人員首先用手指擊打電腦上36個按鍵發聲,每個鍵都按了25次,來培養AI模型對聲音的敏感度,令其正確識別這些按紐。隨後,他們將蘋果iPhone手機放置在距離MacBook Pro 17公分的地方記錄某人的打字。結果顯示,其辨識準確度高達95%。
依照同樣方式,被訓練後的AI模型對Zoom視訊軟體的錄音精準度為93%;在用Skype通話時,監聽按鍵精準度為91.7%。
這一研究表明,任何在公共場合使用筆記本電腦的人都可以被記錄或被解碼其打字內容。
薩裡大學網路安全中心博士生托裡尼(Ehsan Toreini)表示,每個電腦按鍵都會發出獨特的音頻或聲音,的確能夠透過聲紋來推斷按下的鍵。儘管人類的耳朵聽不懂,但AI可以。它不僅「聆聽」,還會利用「每次擊鍵的波形、強度及時間」來收集信息和模式。
「旁道攻擊」
康奈爾大學的學者認為,「隨著麥克風和基於人工類神經網路開發的深度學習(deep learning,DL)模型的不斷更新,(非法者)採用對鍵盤進行聲學攻擊的可行性開始變得可能。」
事實上,早在2018年,蘭開斯特大學就發現,黑客早已能夠利用智能手機的麥克風與揚聲器系統,竊取設備的解密信息。
在信息安全領域,旁道攻擊(side-channel attack)是指黑客透過電腦的聲音發射或振動,來收集敏感信息的網路攻擊手法。它既不需要利用目標程序中的安全缺陷,也不必直接訪問目標信息。
以SonarSnoop為例。如果黑客希望獲得目標手機的解鎖密碼,他們不需直接對密碼內容進行暴力破解,或窺視受害者的密碼信息,SonarSnoop會利用其它可導緻密碼泄露的輔助信息——即在設備上輸入密碼時產生的獨特聲音。它能將攻擊者的解鎖操作次數減少70%,在人們毫無察覺時,執行非法入侵。
「旁道攻擊術」的鼻祖可以追溯到上個世紀50年代的英國間諜,他們曾利用哈格林加密設備的聲音侵入埃及大使館。在1972年,美國國家安全局撰寫的一份報告中也討論了類似的攻擊。
托裡尼建議,蘋果公司應該考慮在鍵盤中添加隨機噪音,以防遭到旁道攻擊,而Zoom等軟體也需要壓縮音頻。
研究人員認為,旁道攻擊主要是獲取受害者所輸入的密碼來實現目的。要想破解這類攻擊並不難,只要變更打字風格,使用白噪音或按鍵音頻過濾器,AI模型的辨識準確度就會受到影響。
對於那些可以不需看鍵盤打字的使用者來說,被辨識也比較難。此外,另一個防禦方法就是,採用隨機密碼。