Исследователи в области информационной безопасности нашли новый способ кражи пользовательских данных - по звукам нажатия клавиш. Ученые четырех британских университетов опубликовали совместную работу, где описана и проверена методика определения букв и цифр по звуку клавиш. Исследование заключалось в сборе аудиосэмплов щелчков компьютерной клавиатуры и их анализе с помощью алгоритмов машинного обучения.
Интересно, что искусственный интеллект обучали распознавать звуки, анализировать изображения. Для этого на каждый звуковой сэмпл была создана спектрограмма, на которых тренировали нейросеть. Во всех экспериментах текст и цифры (без знаков препинания и спецсимволов) набирались на клавиатуре ноутбука Apple MacBook Pro 16 2021 года.
Ученые изучили несколько сценариев "подслушивания" - прямую запись звука клавиш на расположенный рядом с ноутбуком смартфон, а также удаленное прослушивание нажатий через Zoom-конференцию. При непосредственной записи звука на смартфон рядом с ноутбуком точность определения составила 95%. Через Zoom правильная последовательность символов была определена в 93% случаев. Обучить модель оказалось достаточно просто, это заняло меньше двух месяцев. Большая часть времени ушла на сбор и подготовку датасета для обучения нейросетевой модели.
Однако руководитель отдела перспективных технологий Positive Technologies Александра Мурзина отмечает, что для того чтобы эта технология действительно стала опасной, нужно совпадение нескольких обстоятельств. На телефон или компьютер должно попасть вредоносное ПО, окружающая обстановка действительно должна быть спокойной, чтобы можно было уловить звук, человек должен вводить конфиденциальную информацию, которая может быть интересна злоумышленнику.
"Как защититься в подобной ситуации? Тут можно дать только классический совет. Скачивать программы из доверенных источников и использовать антивирус", - говорит Мурзина.
Руководитель российского исследовательского центра "Лаборатории Касперского" Дмитрий Галов отмечает, что такой способ перехвата данных сейчас воспроизводится только в рамках лабораторных исследований: "Мы не видим предпосылок к тому, чтобы в обозримом будущем подобный вектор атаки стал по-настоящему массовым. Анализировать огромные потоки аудио, в которых нужной злоумышленникам информации может даже не оказаться, с точки зрения атакующих вряд ли эффективно".
По мнению Галова, в арсенале злоумышленников, которые реализуют целенаправленные атаки, есть ПО, которое технически позволяет получить доступ к микрофону и записывать окружающие устройство звуки. Однако такие программы используются для таргетированной, очень дорогостоящей и комплексной слежки, а вместе с потоком аудио злоумышленники пытаются получить доступ также к перепискам жертвы в мессенджерах, к фотографиям и документам на устройстве.
Это не первая попытка использовать ИИ для кражи паролей. В конце 2022 г. шотландские ученые разработали систему ThermoSecure, которая с помощью тепловизора определяла пароли, которые люди вводили в банкоматах, компьютерах или на смартфонах. Система находила правильную последовательность символов благодаря интенсивности теплового следа на клавиатуре ввода пароля. Причем даже через минуту система показывала эффективность 62%, а если после ввода проходило несколько секунд, то точность возрастала до 86%.
Инструменты на основе искусственного интеллекта успешно используются и для классического взлома. Так, фирма Home Security Heroes, занимающаяся кибербезопасностью, опубликовала исследование, где был на практике применен новый инструмент для взлома паролей на базе искусственного интеллекта под названием PassGAN (состязательная нейросеть, генерирующая пароли).
Исследователи использовали PassGAN для просмотра списка из более чем 15 миллионов паролей. Результаты показали, что 51% распространенных паролей можно взломать менее чем за минуту, 65% - менее чем за час, 71% - менее чем за день и 81% - менее чем за месяц.