Zaskakujący atak. Podsłuchują, jak stukasz w klawiaturę i po dźwięku wiedzą, jakie masz hasło

Każdy, kto z internetu korzysta od kilku lat, choć raz spotkał się z frazą keylogger. Keylogger to nic innego jak program, który jest w stanie stale rejestrować wciskane przez użytkownika klawisze, najczęściej będąc złośliwą aplikacją tworzoną przez cyberprzestępców. Internauci, którzy mieli nieszczęście zetknąć się z tego typu programami, w najlepszym przypadku tracili dostęp do kont w grach online, w najgorszym - oszczędności życia.

Sposoby ochrony przed keyloggerami nie różnią się niczym od profilaktyki przed "zwykłymi" wirusami komputerowymi: nie instalować programów i aplikacji z nieznanych źródeł, nie klikać w dziwne adresy URL przesyłane w wiadomościach ani nie dawać się nabrać na różne sztuczki stosowane w kampaniach phishingowych. Jak pokazują brytyjscy badacze, wszystkie te czynności mogą nie mieć zbyt wiele sensu w przypadku keyloggerów nowego typu: słuchających dźwięku klawiszy.

Ciekawa praca naukowa została niedawno opublikowana w archiwum arXiv przez trójkę brytyjskich badaczy: Joshuę Harrisona, Ehsana Toreiniego i Maryam Mehrnezhad. W swoim artykule trójka inżynierów zajmujących się cyberbezpieczeństwem udowodniła, że za pomocą jedynie dźwięku wciskanych klawiszy da się z nawet 95 proc. prawdopodobieństwem odczytać (odsłuchać?) wpisywany tekst. Było to możliwe dzięki wykorzystaniu sztucznej inteligencji.

Do przeprowadzenia eksperymentu badacze wykorzystali MacBooka Pro 16" (2021), iPhone 13 Mini oraz komunikator Zoom. W pierwszej kolejności Brytyjczycy przygotowali nagrania dźwięku klawiszy, które później wykorzystali do treningu AI. Każdy z 36 alfanumerycznych klawiszy MacBooka wcisnęli 25 razy. Wciśnięcia odbywały się jeden po drugim, lecz z różną siłą i różnymi palcami.

Po "nakarmieniu" AI odgłosami wciskanych klawiszy, naukowcy przystąpili do kolejnego etapu badania podzielonego na dwie części: nagrywania normalnego pisania na klawiaturze. W pierwszej części odgłosy pisania na klawiaturze nagrano za pomocą iPhone 13 Mini położonego na biurku na szmatce z mikrofibry 17 cm od laptopa. W drugiej części nagrywanie odbyło się za pomocą uruchomionej na MacBooku aplikacji Zoom. Następnie oba nagrania dano sztucznej inteligencji do przeanalizowania i przewidzenia jakie znaki - a więc i słowa, są wpisywane przez badaczy na klawiaturze w ich normalnym tempie pisania.

W przypadku nagrywania telefonem dokładność w przewidywaniu wpisywanego tekstu wynosiła średnio 95 proc. W przypadku nagrania z aplikacji do wideokonferencji, dokładność wynosiła średnio 93 proc. Badacze przeprowadzili też dodatkowy test (niestanowiący części badawczej pracy) na Skype, gdzie AI osiągnęła 91,7 proc. dokładności.

Według Brytyjczyków tego typu atak mógłby z łatwością zostać wykorzystany przeciwko przeciętnemu użytkownikowi, który zwykle w domu odbierając połączenia jest w pobliżu laptopa, lub został sprowokowany przez cyberprzestępców do połączenia głosowego przez aplikację (np. Zoom). Ponadto zaznaczają, że telefon lub aplikacja do wideokonferencji to tylko dwa z potencjalnych wektorów ataku. Jak piszą, obiecującym wektorem mógłby być także smartwatch umieszczony na nadgarstku ofiary.

Jednocześnie, przytaczając inne badania opublikowane w 2017 i 2021 r., brytyjscy badacze zastrzegają, że metoda różni się efektywnością w zależności od modelu laptopa - czy po prostu modelu klawiatury. Dane zebrane z MacBooka nie będą efektywne przy ataku na właściciela np. laptopa Asus. Potencjalnie atak może być także bardziej efektywne w przypadku użytkowników klawiatur mechanicznych, które są głośniejsze niż klawiatury membranowe.