准确度95%!AI「听」电脑键盘声可偷密码个资
来源:倍可亲(backchina.com)
人工智慧(AI)进展飞速,你的隐私很可能不知不觉就奉送给骇客。英国3所大学合作研究发现,由于现今许多通讯软体均可连结电脑设备的麦克风,骇客有办法利用AI透过视讯会议软体「听」电脑使用者敲打键盘的声音,藉此猜测使用者的密码,可怕的是,准确度高达95%。
综合美国科技新闻网站Interesting Engineering、《印度快报》报导,骇客利用AI透过通讯软体Zoom聆听电脑使用者打字的声音以猜测密码,现今电脑等装置内建麦克风稀松平常,视讯会议很可能导致电脑使用者遭受网路攻击的风险大增。研究成果已在IEEE欧洲资安与隐私工作坊研讨会发表。
英国萨里大学(University of Surrey)、杜伦大学(Durham University)、伦敦大学皇家哈洛威学院(Royal Holloway, University of London)3校研究团队建立一套透过录音辨识笔记型电脑各个键盘声音的系统。研究人员以苹果笔记型电脑MacBook Pro测试,用不同手指与力道按下36个字母与数字按键,每键按25次,按键发出的声音,同时利用视讯软体Zoom、Skype与距离键盘17公分的智慧型手机iPhone 13 mini录下,为每个按键的声音建立波形频谱图。
研究团队接着训练一台电脑的学习系统辨识每个按键发出的声音,再测试这个系统留存的数据,结果发现,透过iPhone录下的键盘声辨识准确度95%,透过Zoom录下的准确度为93%;若用Skype录音,准确度也有91.7%。这种深度学习模型可透过监听键盘声音窃取使用者的名称、密码与其他敏感讯息,不法人士可用来开发恶意程式软体,窃听透过电脑键盘输入的信用卡号、重要讯息、对话、个资等。
英国上述3校发表的成果并非全球首度发现可透过录音辨识电脑键盘按键,但这个研究团队表示,他们使用的是最先进的方法,获得的准确度也是历来最高。
研究报告共同作者、萨里大学研究人员托雷尼(Ehsan Toreini)说,网路攻击与模式与时俱进,越来越多家庭使用附带麦克风的智能设备,市面上物美价廉的高品质麦克风也很多,如何规范AI也成了有必要公开讨论的重大议题。研究主持人哈里森(Joshua Harrison)特别提及,要侦测Shift这个按键的声音难度很高。
研究团队强调,这项研究只是验证概念,尚未用于咖啡馆等现实环境破解密码,但研究结果的确凸显了大众应该对于AI的管理体系更加注意、加以辩论,这种「旁路攻击」(side-channel attack)对于任何电脑键盘都可能构成威胁。
研究人员也据此提出降低遭受这类攻击风险的方法,例如使用生物辨识密码或两阶段认证系统,溷合使用大小写、数字、符号设置密码也是个好主意。
