來自英國(guó)大學(xué)的一組研究人員訓(xùn)練了一種深度學(xué)習(xí)模型，該模型可利用麥克風(fēng)記錄并分析鍵盤擊鍵的聲音，以此來竊取目標(biāo)設(shè)備中的數(shù)據(jù)，準(zhǔn)確率高達(dá) 95%。

不同于其他需要特殊條件并受到數(shù)據(jù)速率和距離限制的旁道攻擊，由于現(xiàn)有大量場(chǎng)景都擁有可以錄制高質(zhì)量音頻的錄音設(shè)備，聲學(xué)攻擊變得更加簡(jiǎn)單。

攻擊原理

因?yàn)橛?xùn)練算法的需要，攻擊的第一步要記錄目標(biāo)鍵盤上一定次數(shù)的擊鍵聲音，錄音設(shè)備可以是附近手機(jī)內(nèi)的麥克風(fēng)，此時(shí)，該手機(jī)可能已經(jīng)感染可調(diào)用麥克風(fēng)權(quán)限的惡意軟件，或者可通過ZOOM等會(huì)議軟件，利用遠(yuǎn)程會(huì)議等渠道記錄目標(biāo)的鍵盤擊鍵聲音。

研究人員以MacBook為實(shí)驗(yàn)對(duì)象，在其36個(gè)按鍵上分別按壓25次產(chǎn)生的聲音來收集訓(xùn)練數(shù)據(jù)，錄音設(shè)備則是一臺(tái)距離MacBook 17 厘米處的 iPhone 13 mini。隨后，從記錄中生成波形和頻譜圖，將每個(gè)按鍵的可識(shí)別差異可視化，并執(zhí)行特定的數(shù)據(jù)處理步驟以增強(qiáng)可用于識(shí)別擊鍵的信號(hào)。

對(duì)擊鍵音頻進(jìn)行采樣

生成的頻譜圖

頻譜圖被用來訓(xùn)練稱之為CoAtNet的圖像分類器，該過程需要對(duì)相關(guān)參數(shù)進(jìn)行一些實(shí)驗(yàn)，直到獲得最佳預(yù)測(cè)精度結(jié)果。

為訓(xùn)練 CoAtNet 選擇的參數(shù)

實(shí)驗(yàn)中結(jié)果顯示，在直接調(diào)用iPhone麥克風(fēng)的情況下，CoANet記錄的準(zhǔn)確率達(dá)到 95%，而通過 Zoom 記錄的準(zhǔn)確率為 93%。Skype 的準(zhǔn)確率較低，但仍然可用，為 91.7%。

預(yù)防措施

研究結(jié)果反映出此類攻擊與機(jī)器學(xué)習(xí)的快速進(jìn)步相結(jié)合，會(huì)嚴(yán)重影響目標(biāo)的數(shù)據(jù)安全，造成賬戶密碼、私密聊天等信息的泄露。此外，即使是一些非常安靜的鍵盤，攻擊模型也被證明非常有效，因此在機(jī)械鍵盤上添加消音器或給鍵盤貼膜不太可能有效遏制聲音信息的泄漏。

研究人員建議嘗試改變打字風(fēng)格或使用隨機(jī)密碼，或使用軟件重現(xiàn)擊鍵聲音、白噪聲或基于軟件的擊鍵音頻過濾器，最好在可行的情況下采用生物識(shí)別身份驗(yàn)證，利用密碼管理器來避免手動(dòng)輸入敏感信息。