A jelszavak beírásánál már nem csak arra érdemes ügyelni, hogy senki se lássa, amit gépelünk, hanem arra is, hogy senki se hallja – derül ki egy kutatásból, ami arra figyelmeztet, hogy a mesterséges intelligencia segítségével már a leütések hangjából is meg lehet állapítani, milyen gombokat nyomott le a felhasználó. Ennek értelmében egy Zoomon keresztül folytatott csevegés is a kibertámadás kockázatát hordozza, különösen, hogy a videokonferenciázás és a beépített mikrofonnal rendelkező eszközök használata is széles körben elterjedt.
Az IEEE European Symposium on Security and Privacy Workshops keretében közzétett tanulmány szerzői állítólag sikeresen létrehoztak egy olyan rendszert, ami több mint 90 százalékos pontossággal képes kiszámolni a pötyögés hangfelvétele alapján, hogy mikor melyik billentyűre koppintott az ember. Ez egész pontosan 95 százalékos hatékonyságot jelentett, amikor telefonhívások során készítettek felvételeket, és csaknem ugyanekkora, 93 százalékos arányt, amikor a Zoom-on vették fel és elemezték a kopácsolás hangját.
A kutatók egy MacBook Pro billentyűit nyomkodták különböző ujjakkal és változó erősséggel, amit Zoom-híváson keresztül és a billentyűzettől kis távolságra elhelyezett okostelefonon is rögzítették. Az adatokat aztán betáplálták egy gépi tanuló rendszerbe, amelyik idővel megtanulta felismerni az egyes gombokhoz kapcsolódó akusztikus jellemzőket. Bár nem világos, hogy a rendszer pontosan milyen jelekre vadászik, a szakemberek szerint fontos szerepet játszhat a dologban az egyes billentyűk távolsága a billentyűzet széléhez képest.
Nem kivédhetetlen, csak macerás kivédeni
A Guardian riportjából kiderül, hogy hasonló technikával már mások is próbálkoztak, a legújabb csapat azonban azt állítja, hogy tanulmányukban a legkorszerűbb módszereket alkalmazták, amelyekkel az eddigi legnagyobb pontosságot érték el. Bár a módszert nem használták fel ténylegesen jelszavak feltörésére, sőt a hangmintákat sem kávézókban vagy hasonló zajos helyeken gyűjtötték, elvben bemutatták a bármelyik billentyűzeten alkalmazható lehallgatási módszerek kockázatát, ami egyébként több módszerrel is csökkenthető.
A kézenfekvő megoldáson, a többlépcsős azonosítás bevezetésén túl a kis- és nagybetűkből, számok és szimbólumok kombinációjából álló jelszavak alkalmazását javasolják, mivel úgy találták, hogy nehéz belőni, mikor engedi fel valaki a SHIFT billentyűt. A Guardian egy másik kutatót is idéz, aki arra figyelmeztet, hogy a hangok mellett a váll és a csukló finom mozgásairól készült videók is indirekt információforrást jelenthetnek a támadóknak, vagyis a jelszavakat akkor is megszerezhetik, ha maga a billentyűzet nem látható a felvételeken.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak