敲击键盘也可能泄露敏感信息?
敲击键盘也可能泄露敏感信息?
敲击键盘的声音可能泄露你的敏感信息?这不是天方夜谭。最新研究表明,通过分析打字声音,攻击者能够以43%的成功率推断出敲击的按键。这意味着即便在嘈杂的环境中,键盘输入的密码等敏感信息也可能被窃取。
研究突破:从受控环境到真实环境
以往的研究者仅能在受控环境下成功解析键盘声学信息,但乔治亚州奥古斯塔大学的研究人员通过实验证明,他们能够在真实环境中识别这些声音。为此,他们发表了一篇论文,详细阐述了这种声学侧信道攻击手段。
论文中写道,为了验证该攻击,根据经机构审查委员会批准的方案,他们收集了20名参与者的环境噪声和打字文本,通过实验确定击键成功率高达43%。这个成功率听起来好像并不高,但如果重复录制同一次输入,成功率有望显著提高。
研究人员称,他们的成果不受以往分析的限制,当以下情况出现时,攻击会更有效:
- 录音包含环境噪声
- 针对同一目标的打字录音是在不同的键盘上进行的
- 录音使用的是低质量麦克风
- 目标对象可自由使用任何打字习惯
如果威胁行为者想要实施一次成功的攻击,他们只需要收集按键声音的数据样本来训练统计模型,一旦模型能够将敲击声与特定字母关联,就能获取想要的敏感信息,比如登录凭据。
在之前的研究中,研究人员已经成功利用深度学习模型将笔记本电脑的按键声音与具体字符匹配。去年,他们使用了一台配备M1 Pro处理器的2021款MacBook Pro笔记本电脑,依靠人工智能监听敲击键盘的声音来确定对应的按键,准确率高达95%,成功地解读了Zoom通话中用户的打字内容。
而这种攻击方法不依赖于特定平台,只需要一个带有麦克风的设备(比如智能手机、笔记本电脑或物联网设备)靠近物理键盘,就能发起攻击。
声学攻击的多重传播途径
这类攻击手段可以通过网站、浏览器扩展、应用程序、跨站脚本以及受损的USB键盘等形式作为恶意软件进行部署。USB 输入设备可以像任何 USB 存储驱动器一样存储和传播恶意软件,因为它们通常有足够的计算能力和存储空间来运行预装脚本。
众所周知,键盘包含由制造商安装的键盘记录程序,许多公司和代购都在亚马逊等网站上销售键盘。因此,从键盘发起自动执行攻击的想法并非遥不可及。
虽然这种攻击可以通过更安静的键盘来阻止,但黑客攻击方法会随着时间的推移而不断改进,43% 的成功率表明了这种攻击方法的可行性。
根据研究论文,除了不使用物理键盘外,专业打字员也可能让攻击变得困难,因为他们的打字速度极快,而且多个击键之间会有重叠。
此外,研究在结论部分还提到,未来项目计划使用大型语言模型(LLMs)来提高攻击的成功率,进一步强调了AI可能对数字安全造成的潜在威胁。
本文原文来自腾讯新闻