打字時,最高品質靜悄悄
據《Bleeping Computer》報導,英國大學的研究人員訓練了一種深度學習模型,這種模型可以從麥克風紀錄的鍵盤敲擊聲中竊取用戶個資,準確率達95%。研究人員也利用這種模型來測試 Zoom 會議當中所獲得的鍵盤敲擊聲,雖然準確率下滑到93%,但危險性仍相當高。
但惡意人士收集鍵盤敲擊聲能獲得什麼資訊?事實上影響的範圍相當廣泛,因為這有可能會將你的帳密、與他人的討論,抑或是其他敏感訊息洩漏給第三方知道。
惡意,全都是惡意
惡意人士要怎麼透過這種方式來收集你的敏感資訊?攻擊的第一步就記錄攻擊目標鍵盤上的敲擊鍵聲,因為訓練預測算法需要這項數據;惡意人士可以透過攻擊目標附近的麥克風或手機來實現,像是手機就可能早已被某個入侵其麥克風的惡意軟體所感染。
又或者惡意人士可能會躲在某個 Zoom 會議當中,在攻擊目標輸入訊息時錄音,並取得敲擊鍵間的關聯。
研究人員是透過收集 MacBook Pro 上36個按鍵,並記錄下敲擊每個按鍵25次的聲音來收集訓練模型的數據。他們從記錄中生成的波形、頻譜圖,讓每個按鍵聲產生可識別差異的可視圖,並執行特定的數據處理步驟,以增強可用於識別敲擊鍵的訊號。
防守再防守
這次英國大學研究團隊使用的設備有 MacBook Pro(都使用同一台電腦來收集數據),以及一部放置在距離目標 MacBook Pro 約17公分處的 iPhone 13 mini,另外也搭配了 Zoom 應用程式來收集數據。
研究團隊所設計的深度學習模型,對於智慧手機麥克風所記錄的數據準確率達到95%,透過 Zoom 來獲取的數據正確率則有93%,另外也使用了 Skype 來取得鍵盤敲擊聲,雖然準確率較前二者低(91.7%),但危險性仍相當高。
對於自身個資相當重視的用戶可能會擔心往後的機密可能很難守住,研究團隊也在論文中建議,如果你很擔心會被這樣的方式收集數據,那麼可以嘗試著改變打字風格,或使用隨機密碼來讓惡意人士無法捉摸。
當然你可以試著採取其他防禦措施,像是利用軟體來重複鍵盤敲擊聲、輸入資訊時搭配白噪音,或是基於軟體的鍵盤音頻過濾器等。
有些人可能會想「那我用較安靜的鍵盤,或蓋上鍵盤靜音膜不就可以了?」但研究團隊指稱,這個攻擊模型就連這一類的方式都可以破解。如果可以,最好的方式就是建議使用者使用生物辨識的方式驗證帳密,並利用密碼管理器來避免手動輸入敏感資訊。