Ново университетско проучване разкри, че изкуственият интелект (AI) може да идентифицира пароли само по звука на натиснатите клавиши – при това с повече от 90% точност.
Въвеждането на компютърна парола, докато чатим или се логваме в приложение, може да отвори вратите за кибератака. Новото проучване разкрива, че AI доста прецизно може да разбере кои клавиши се натискат, като само слуша звука от писането на клавиатурата.
Нов вид киберзаплаха
Според експерти от ИТ индустрията, тъй като инструментите за видеоконференции като Zoom се използват все повече и устройствата с вградени микрофони са станали повсеместни, то заплахата от кибератаки, базирани на звуци, също е нараснала. Сега намесата на AI прави много по-лесно подслушването и разпознаването на клавишни комбинации, водейки до риск от нов вид кибератака.
„Мога само да видя, че точността на такива модели и подобни атаки се увеличава. С бума на смарт-устройствата и носимите устройства с микрофони, които стават все по-често срещани в рамките на домакинствата, подобни атаки подчертават необходимостта от публични дебати относно управлението на AI,“ казва д-р Ехсан Торейни, съавтор на изследването от Университета на Съри.
Проучването, публикувано като част от IEEE European Symposium on Security and Privacy Workshops, разкрива как Торейни и негови колеги са използвали алгоритми за машинно самообучение, за да създадат система, способна да идентифицира кои клавиши са били натискани на лаптоп въз основа само на звука от тракването.
В доклада се съобщава как изследователите са натиснали всеки от 36 клавиша на MacBook Pro, включително букви и цифри, 25 пъти подред, използвайки различни пръсти и с различен натиск. Звуците са записани както по време на разговор в Zoom, така и на смартфон, поставен наблизо до клавиатурата.
Джошуа Харисън, водещ автор на изследването от Университета Дърам, казва, че след това екипът е вкарал част от данните в система за машинно самообучение, която с течение на времето се е научила да разпознава характеристиките на акустичните сигнали, свързани с всеки клавиш.
Въпреки че не е ясно кои улики е използвала системата, Харисън казва, че е възможно определящо влияние да има това колко близо са клавишите до ръба на клавиатурата.
Така или иначе резултатите разкриват, че системата може с точност да разпознае „правилния“ клавиш за всеки звук – в 95% от времето, когато записът е направен по време на телефонно обаждане. Тя разпознава звуците на клавишите в 93% от времето, когато записът е направен по време на разговор в Zoom.
Сигнал за събуждане
„Това проучване трябва да послужи като сигнал за събуждане относно истинските рискове, породени от изкуствения интелект, ако технологията бъде отвлечена от киберпрестъпници,“ предупреждава експертът по сигурност Суид Адейанджу, главен изпълнителен директор на RiverSafe, по повод констатациите.
Според него, много организации бързат да приемат технологията, без да се усъмнят какви биха могли да са злонамерените приложения на AI. „Прекалено ентусиазираните ръководители трябва да вземат под внимание, че AI може да изглежда като Барби, но може да се окаже Опенхаймер, ако не са въведени необходимите киберзащити и регулаторни процедури“.
Изследването не е първото, което показва, че натискането на клавиши може да бъде идентифицирано по звука от тракането им. Екипът обаче твърди, че неговото проучване използва най-съвременните методи и е постигнало най-висока точност досега.
Въпреки че изследването е принципно и не е използвано за разбиване на пароли, което би включвало правилно отгатване на поредици от натискания на клавиши или в реални настройки, учените казват, че работата им подчертава необходимостта от повече бдителност.
Лаптопите със сходни клавиатури и обичайна употреба на обществени места са изложени на висок риск, твърдят изследователите. Методи за подслушване, подобни на техния, могат да бъдат приложени към всяка клавиатура.
Предпазни мерки
Изследователите добавят, че има редица начини, по които рискът от подобни атаки чрез акустични странични канали може да бъде смекчен. Например, потребителят може да избере биометрични методи за идентификация, където е възможно. Може да активира система за проверка с две стъпки.
Най-малкото, добра идея е потребителите да използват клавиша Shift, за да създадат смес от главни и малки букви или числа и символи в своите пароли – това ще е по-трудно за акустично разпознаване, съветват специалистите.