Ova novootkrivena ranjivost ističe potencijalni put za sajber napade, posebno u kontekstu platformi za video konferencije poput Zoom-a, koje su doživele široku upotrebu. S obzirom na rasprostranjenost uređaja opremljenih ugrađenim mikrofonima, rizik od sajber pretnji zasnovanih na zvuku se značajno povećao.
Napredne tehnike dekodiranja
Sistem koji su istraživači osmislili koristi algoritme mašinskog učenja kako bi prepoznao pojedinačne tastere prilikom njihovog pritiskanja, analizirajući auditivne signale koji se proizvode tokom kucanja. Ovaj pristup je sličan tehnikama koje su nedavno primenjene za dešifrovanje Enigme, uređaja za šifrovanje iz Drugog svetskog rata.
Da bi obučili sistem, istraživači su pažljivo snimili zvukove generisane prilikom pritiskanja svakog od 36 tastera na MacBook Pro laptopu više puta, koristeći različite prste i stepene pritiska. Ovi snimci zvuka su snimnjeni putem Zoom poziva i putem pametnog telefona postavljenog blizu tastature.
Nakon toga, istraživači su uneli deo ovih snimljenih podataka u svoj sistem za mašinsko učenje, koji je postepeno naučio da prepoznaje karakteristične akustične obrasce povezane sa svakim tasterom. Iako su precizni indikatori koje sistem koristi i dalje dvosmisleni, pretpostavlja se da faktori poput udaljenosti tastera od ivice tastature mogu imati ključnu ulogu u generisanju prepoznatljivih zvukova.
Naknadna testiranja pokazala su da je sistem tačno povezao odgovarajući taster sa odgovarajućim zvukom u 95% slučajeva kada je snimljen putem telefonskog poziva i u 93% slučajeva tokom Zoom poziva.
Smanjenje rizika
Ova studija pre svega služi kao dokaz principa i nije primenjena za otkrivanje šifara u praktičnim scenarijima. Kao takva, ističe potrebu za oprezom u zaštiti osetljivih informacija. Istraživači naglašavaju da laptopi koji se često korišćeni u javnim prostorima imaju povećane rizike zbog svojeg uobičajenog dizajna tastature. Ipak, slične tehnike prisluškivanja potencijalno mogu ciljati bilo kakvu vrstu tastature.
Da bi umanjili rizike od ovakvih akustičnih “sporednih napada”, istraživači predlažu nekoliko strategija. Tu mogu spadati korišćenje biometrijskih šifara kada je to moguće ili implementacija sistema dvostruke verifikacije. Alternativno, preporučuju korišćenje kombinacije velikih i malih slova, brojeva i simbola, jer su auditivni signali za puštanje shift tastera teško razaznatljivi. Takođe, treba izbegavati unošenje lozinki i osetljivih poruka tokom poziva.
Autori studije tvrde da ovo nije prvi pokušaj identifikacije lozinki zvukom. Međutim, njihov metod spada među najnaprednije i pokazao je najveću tačnost. Tim očekuje da će takvi modeli nastaviti da se unapređuju. Imajući to u vidu, naglašavaju hitnost javnih diskusija o upravljanju veštačkom inteligencijom s obzirom na sve veću rasprostranjenost pametnih uređaja sa mikrofonima u domaćinstvima.
Studija je objavljena kao deo IEEE Evropskog simpozijuma o bezbednosti i privatnosti (IEEE European Symposium on Security and Privacy Workshops).
