A Durham University, a University of Surrey és a Royal Holloway University of London által kifejlesztett technika a jelszó kitalálásának még pontosabb módját kínálja a billentyűzeten történő gépelés hangjának meghallgatásával.
Az egyes billentyűk hangjainak enyhe különbségei az információk nem szándékos kiszivárgását jelentik, amit „mellékcsatornának” neveznek. A számítógépeknek általában rengeteg mellékcsatornája van, például zajok, hő és az elektromágneses sugárzás változásai, amelyeket a fenyegetettségi szereplők összegyűjthetnek és elemezhetnek, hogy többet tudjanak meg arról, mi történik a számítógépen. Jelszó begépelésekor az emberek rendszeresen elrejtik a képernyőjüket, de keveset tesznek a billentyűzetük hangjának elfedése érdekében.
A kutatók valós támadási forgatókönyveket is alkalmaztak, például egy laptop billentyűzetének lehallgatását az ugyanabban a szobában lévő okostelefon mikrofonjának segítségével, valamint egy Zoom-hívás hangjának rögzítésével. Működött? Igen!
Mint oly sok kiberbiztonsági kutatásban, itt is a mesterséges intelligencia áll a középpontban. Az új jelszófeltörési technika a Deep Learning (a mesterséges intelligencia egy olyan formája, amely az emberi agy tanulási folyamatát utánozza) segítségével határozza meg, hogy a billentyűzet 36 billentyűje közül melyiket nyomják le. Az algoritmust egy Apple laptop minden egyes billentyűjének 25-szöri megnyomásával tanították be, különböző ujjakkal és különböző nyomással. A billentyűleütésekből származó hangokat alaposan feldolgozták, mielőtt képekké alakították, majd betáplálták egy algoritmusba, amelyet a képek osztályozására használtak.
Az ebben a tanulmányban bemutatott módszer 95%-os pontosságot ért el a telefonon rögzített laptop billentyűleütéseken, ami a nyelvi modelleket nem használó minősítők esetében jobb eredményt jelent, és a második legjobb pontosságot a szakirodalomban. A Zoom-ról felvett adatokon végrehajtva a módszer 93%-os pontosságot eredményezett.
Az ilyen kutatások mindig felvetik a kérdést, hogy kell-e aggódni emiatt? A legtöbb embernek sokkal alapvetőbb jelszóproblémái vannak, amelyekkel foglalkoznia kell, mielőtt megjavítaná a zajos billentyűzetét. Azonban a kiberbűnözés nem minden célpontja egyforma, és vannak olyan nemzetállami szervek, amelyek milliókat hajlandóak költeni arra, hogy bizonyos embereket kompromittáljanak. Nem nehéz elképzelni, hogy egy hírszerző ügynökség vagy az ipari kémkedés esetében ilyen technikát alkalmazzanak.
Ahogy a kutatók rámutatnak, egy laptopon betanított mélytanulási motor valószínűleg képes lenne kitalálni más, ugyanolyan modellű laptopok jelszavait is, ami azt jelenti, hogy „az egyetlen laptopon végrehajtott sikeres támadás nagyszámú eszközön is életképesnek bizonyulhat”.
Érdemes megjegyezni, hogy a jelszó megadása egy jelszókezelővel szinte hangtalanul történik. Ha azonban úgy gondolja, hogy valóban veszélyben van az ehhez hasonló technikák miatt, akkor a jelszavakon túlmenően hallgassa meg a jelszószéfekről készített podcast adásunkat!
