现代人总被耳提面命不要在网路上公开自己的任何个人资讯,以防恶意人士窃取、盗用;但你有想过,现在就连你敲击键盘的声音都可能透露出你正在输入什麽资讯吗?
据《Bleeping Computer》报导,英国大学的研究人员训练了一种深度学习模型,这种模型可以从麦克风纪录的键盘敲击声中窃取用户个资,准确率达 95%。研究人员也利用这种模型来测试 Zoom 会议当中所获得的键盘敲击声,虽然准确率下滑到 93%,但危险性仍相当高。
但恶意人士收集键盘敲击声能获得什麽资讯?事实上影响的范围相当广泛,因为这有可能会将你的帐密、与他人的讨论,抑或是其他敏感讯息泄漏给第三方知道。
恶意人士要怎麽透过这种方式来收集你的敏感资讯?攻击的第一步就记录攻击目标键盘上的敲击键声,因为训练预测算法需要这项数据;恶意人士可以透过攻击目标附近的麦克风或手机来实现,像是手机就可能早已被某个入侵其麦克风的恶意软体所感染。
又或者恶意人士可能会躲在某个 Zoom 会议当中,在攻击目标输入讯息时录音,并取得敲击键间的关联。
研究人员是透过收集 MacBook Pro 上 36 个按键,并记录下敲击每个按键 25 次的声音来收集训练模型的数据。他们从记录中生成的波形、频谱图,让每个按键声产生可识别差异的可视图,并执行特定的数据处理步骤,以增强可用於识别敲击键的讯号。
这次英国大学研究团队使用的设备有 MacBook Pro(都使用同一台电脑来收集数据),以及一部放置在距离目标 MacBook Pro 约 17 公分处的 iPhone 13 mini,另外也搭配了 Zoom 应用程式来收集数据。
研究团队所设计的深度学习模型,对於智慧手机麦克风所记录的数据准确率达到 95%,透过 Zoom 来获取的数据正确率则有 93%,另外也使用了 Skype 来取得键盘敲击声,虽然准确率较前二者低(91.7%),但危险性仍相当高。
对於自身个资相当重视的用户可能会担心往後的机密可能很难守住,研究团队也在论文中建议,如果你很担心会被这样的方式收集数据,那麽可以尝试着改变打字风格,或使用随机密码来让恶意人士无法捉摸。
当然你可以试着采取其他防御措施,像是利用软体来重复键盘敲击声、输入资讯时搭配白噪音,或是基於软体的键盘音频过滤器等。
有些人可能会想「那我用较安静的键盘,或盖上键盘静音膜不就可以了?」但研究团队指称,这个攻击模型就连这一类的方式都可以破解。如果可以,最好的方式就是建议使用者使用生物辨识的方式验证帐密,并利用密码管理器来避免手动输入敏感资讯。
- New acoustic attack steals data from keystrokes with 95% accuracy
(首图来源:Technology photo created by DCStudio – www.freepik.com)