實驗AI可以通過聽手指敲擊來竊取PIN和密碼
鍵盤記錄器并不是惡意黑客獲取手機或平板電腦密碼的唯一途徑 。在本周在Arxiv.org發布的預印論文(“智能手機上的新聲學側通道”)中,研究人員描述了一種新穎的攻擊,可以從手指敲擊產生的聲音中恢復虛擬鍵盤上的字符輸入 。
文章插圖
“我們發現,設備的麥克風可以恢復這種波,并‘聽到’手指的觸摸,而波的失真是屏幕上點擊位置的特征,”論文的合著者寫道 。因此 , 通過內置麥克風錄制音頻,惡意應用程序可以在用戶在設備上輸入文本時推斷出文本
【實驗AI可以通過聽手指敲擊來竊取PIN和密碼】研究人員指出,針對鍵盤的聲學攻擊并不新鮮——之前的研究已經研究過使用麥克風來識別物理按鍵的獨特物理特征或缺陷 。但是軟鍵盤自然會造成更高難度的進球,因為每次點擊都發生在同一個面上 。
該團隊采用的應用程序采用了一種可以恢復點擊聲音并將其與擊鍵相關聯的應用程序,使用了一種機器學習算法,該算法經過離線訓練 , 并根據特定的智能手機或平板電腦型號進行調整 。該算法需要克服一個主要的工程挑戰:它需要能夠解釋指尖敲擊產生的干擾振動 。最后,研究人員對反饋聲音進行交叉關聯,以便從振動反饋中消除歧義,并減去振動數據 。
有了這個模型,他們開始計算他們測試的雙麥克風設備接收聲音信號的時間差:LG的Nexus5和三星的Nexus9 。大約70%的記錄水龍頭-這些水龍頭在1300-1700赫茲、8000-8500赫茲、4000-4400赫茲和60-70赫茲的頻率范圍內-被發送到機器學習分類器 , 而其余的
為了驗證他們的方法,研究人員開發了一個Android應用程序 , 用戶可以通過設備上的麥克風收集音頻 , 以便在字段中輸入字母、單詞和數字 。大約45名測試對象在環境噪音相當大的環境中使用,包括公共休息室、閱覽室和圖書館 。
10名參與者被要求以隨機順序輸入9個數字(1到9)10次,另外10名參與者被要求輸入200個獨特的4位數pin 。第三組被指示鍵入字母(也是隨機順序),第四組被告知從開源數據集中鍵入五個字符的單詞 。
研究人員報告說 , 使用兩個麥克風,模型對單個數字的正確預測在最壞情況下比隨機猜測好三倍 , 在最好情況下比100%好 。此外,它在10次嘗試后恢復了54%的pin,在20次嘗試后恢復了150個四位數pin中的91個 。在字母和單詞方面,單個麥克風的性能比隨機猜測要好三倍 。更令人擔憂的是 , 它在10次嘗試中成功恢復了Nexus5和Nexus9上的19個單詞和27個密碼 。
雖然麥克風配置并不完全相同Nexus5的主麥克風位于底部,與頂部的第二個麥克風相對 , 而Nexus9的第二個麥克風位于右側 。
“這表明,鑒于現代平臺的復雜性和對現代硬件更現實的威脅模型的需求,推理智能手機沙盒的危害,”論文作者寫道 。
他們列出了各種減輕攻擊的方法——例如,使用允許用戶關閉麥克風的物理開關,使用采樣頻率較低的麥克風,以及在屏幕頂部增加一層玻璃層 , 可以吸收大多數手指敲擊噪音——但他們承認,最明顯的解決方案存在設計和可用性缺陷 。相反,他們假設(1)一種機制來報告哪些傳感器是活動的,以及(2)一種“安全注意序列”來暫時阻止所有傳感器的密碼或其他敏感文本輸入 。
他們得出結論:“移動設備可能需要更豐富的功能模型,更友好的傳感器使用通知系統,以及更全面的底層硬件泄漏信息評估 。”在平臺上實施這些(或其他緩解措施)之前,應用程序開發人員應考慮使用戰術干擾,前提是通過輔助渠道竊取PIN的行為成比例
推薦閱讀
- 寶寶起名王什么理好聽 男孩起名叫王樂康好嗎
- 好聽的英語名 好聽的英語名字
- 路姓如何給女寶寶起名好聽 姓韓的怎么起名好聽
- 臉書稱將以NPE團隊的名義推出一款實驗性應用
- 如何判別摩托車什么時候換機油
- 姓毛的女孩子叫什么名字好聽
- 給熊貓寶寶起名字沙雕版女 與熊貓有關的好聽的名字女生
- 2個寶寶起名字 給孩子起名字兩個字好聽
- 聽朋友說一起裝修網比較靠譜,還有其他知道的嗎?
- 姓蘇的男孩名字的最謙虛兩字 姓蘇的男孩名字兩字動聽