Шпионское ПО распознаёт пароли по звуку клавиш

Исследователи из нескольких британских университетов разработали модель глубокого обучения, способную получать данные из записанных звуков клавиатуры.


Помимо хищения паролей, такая хакерская атака также может быть использована для кражи сообщений или любой другой конфиденциальной информации, набранной жертвой на клавиатуре ноутбука.

Чтобы атака сработала, злоумышленнику сначала необходимо записать нажатия клавиш либо с помощью расположенного поблизости микрофона, либо через смартфон, заражённый вредоносным ПО. Подойдут также Zoom или другие приложений для общения по видео.

Чтобы компьютерная модель глубокого обучения распознавала нажатия клавиш по звуку, исследователи собрали данные, нажав 36 клавиш на MacBook Pro, по 25 раз каждую. Издаваемые при нажатии каждой клавиши звуки записали с помощью iPhone 13 mini, который был в 16,5 см от ноутбука.

На основе записей исследователи создали спектрограммы, чтобы помочь визуализировать различия между каждой нажатой клавишей. Затем изображения спектрограмм использовали для обучения классификатора изображений CoAtNet, гибридной модели, созданной командой Google Brain.

Когда дело дошло до расшифровки нажатий клавиш по издаваемым ими звукам, CoAtNet сделал это с точностью 95% по записи, сделанной смартфоном, с точностью 93% — по записанном с помощью Zoom и с меньшей, но все ещё полезной точностью в 91,7% — через Skype.

Исследователи считают, что защититься от предполагаемого акустического шпионажа можно. Как минимум, можно иначе жать на клавиши и использовать побольше разнообразных паролей. Для пущей безопасности они также предложили включать фоном белый шум при наборе конфиденциального текста на клавиатуре.

Но если кто-то всерьёз задастся целью создать хакерское ПО, то не имеет значения, использует ли потенциальная жертва слежки одну из лучших механических клавиатур или даже более дешевую мембранную клавиатуру. Модель глубокого обучения всё равно способна красть данные на основе звучания клавиш. Использование для безопасности бесшумной клавиатуры или приглушение звука механической клавиатуры также под вопросом.

И вообще, после такой научной публикации об эффективности акустических атак, хакеры, скорее всего, последуют примеру исследователей. Однако производители компьютеров также осведомлены об угрозе прослушки и, будем надеяться, теперь потрудятся над средствами защиты от новых угроз.