AI kan gætte din adgangskode ved at lytte til tastetryk
Det er ikke længere nok for privatlivsbevidste computerbrugere at dække deres webcam til. Nu er det også nødvendigt at dæmpe lyden fra tastaturet.
Et nyt studie foretaget af et hold af forskere fra Durham University, University of Surrey og Royal Holloway University of London kommer nemlig med en opsigtsvækkende opdagelse. Ved brug af kunstig intelligens er det muligt at identificere, hvilke taster på en bærbar computers tastatur, der trykkes på alene ved at analysere lyden.
Læs også: It- og cybersikkerhed har aldrig været vigtigere end i dag
Identificerer tastetryk med 95 procent nøjagtighed
I eksperimentet identificerede forskerne tastetryk på en MacBook Pro via lydoptagelser fra en mobiltelefon i nærheden med 95 procents nøjagtighed. Via en optagelse gennem et Zoom-videoopkald kunne tastetrykkene identificeres med 93 procent nøjagtighed.
Forskerne kalder opdagelsen for “acoustic side channel attacks”. Her kan ondsindede aktører skaffe sig adgang til en telefon, der ligger ved siden af computeren. Det kan også være en mikrofon koblet på en videomødeplatform såsom Zoom.
I sin rene form kan lydoptagelsen ikke identificere nogle tastetryk. Det er først, når forskerne fodrer en algoritme med lydoptagelsen, at de forskellige lyde fra tastetrykkene kan omdannes til viden om, hvilke taster der trykkes på. Algoritmen er en deep learning-model, der er blevet trænet til at genkende lyden fra hver enkel tast på et computertastatur og outputte, hvilken tast lyden svarer til.
”Med den seneste udvikling i både ydeevnen af (og adgangen til) både mikrofoner og DL-modeller (deep learning, red.) begynder muligheden for et akustisk angreb på tastaturer at se sandsynligt ud,” lyder det fra de britiske forskere.
Læs også: Danmark skraber bunden på liste over it-sikkerhed på hjemmekontoret
Ingen tænker på, at tastaturets lyd kan afsløre kodeord
Ifølge forskerne er bærbare computere det mest åbenlyse mål for angrebet. De er transportable og anvendes på biblioteker, caféer og studieområder, hvor lyden af tastetrykkene nemt kan optages uden offerets viden.
Forskerne forestiller sig også, at smart-højtalere kan anvendes til at udføre angrebet. De befinder sig i mange hjem og kan misbruges til at optage tastaturtryk, når folk betjener deres computer i hjemmet.
Forskerne frygter også for konsekvenserne af angrebstypen, ganske enkelt fordi de færreste kender til denne type af angreb. Mange dækker deres webcam til, når det ikke er i brug, eller skjuler deres skærm/tastatur under indtastning af en adgangskode. Der er dog ikke samme bevidsthed om at undgå at afsløre, hvilke lyde ens computertastatur afgiver.
“Den konstante forekomst af akustiske tastaturlyde gør dem ikke kun til en lettilgængelig angrebsområde, men får også ofrene til at undervurdere (og derfor ikke forsøge at skjule) deres output,” skriver forskerne i studiet.
Læs også: Disse cybertrusler skal du holde øje med i 2023
Sådan sikrer du dig mod at få aflyttet dine kodeord
Der er dog måder, hvorpå man kan minimere risikoen for at blive udsat for denne type angreb. Først og fremmest bør man bruge adgangskoder med store og små bogstaver, ligesom der bør være specialtegn og tal. Adgangskoder med fulde ord kan være nemmere at udlede via lyd og øger risikoen for angreb.
Algoritmen kan godt registrere via lyd, hvornår man trykker på shift-knappen for at lave et stort bogstav eller et specialtegn. Den kan dog ikke registrere, hvornår man slipper shift-knappen igen. Derfor mindsker det risikoen for angreb betydeligt, hvis man bruger en sikker adgangskode.
En anden simpel måde at undgå at blive offer for denne type angreb på er ved at bruge totrinsbekræftelse eller en adgangsnøgle. Dermed kan man ikke logge ind på en ny og ubekræftet enhed, før man bekræfter loginforsøget med en bekræftet enhed såsom sin telefon. På samme vis kan biometrisk godkendelse såsom ansigtsgenkendelse og fingeraftrykslæser også minimere risikoen for angreb.
Læs også: Nyheder om it- og cybersikkerhed