一种新的“声学侧信道攻击”办法

该论文揭示了一种假想的网络攻击，在这种攻击中，黑客可以利用一个人的打字录音来盗取其个人信息。
这种攻击利用了一种基于深度学习的低廉甜头算法，它可以从声音上剖析按键声音，并自动解码该人正在输入的内容。
研究职员说，这种录音可以通过手机麦克风以及会议运用程序Zoom轻松实现。
研究表明，通过手机录音的精确识别比例为95%，而通过Zoom通话录音的精确识别比例为93%。

技能上，这实在是所谓的“声学侧信道攻击”的一个变种。
声波攻击（利用声波监控捕捉敏感信息）并非新征象，但与人工智能整合之后有望使其在盗取数据方面变得更加有效。
在研究职员看来，目前最大的威胁是黑客能否利用这种窃听办法来窃听用户的密码或其他的个人隐私信息。
而事实是，网络犯罪分子很随意马虎就能发动这样的攻击。
“我们的研究结果证明了利用现成设备和算法进行这些侧信道攻击的实际可行性……键盘声学辐射的普遍存在不仅使其成为一种现成的攻击载体，而且还使受害者低估了（并因此不试图隐蔽）对它的输出。
”研究职员在论文中写道。

在日常生活中，犯罪分子可以在许多场景下利用键盘发出的声音来盗取电脑或手机用户的数据。
由于这种攻击模式依赖对受害者活动的录音，因此攻击者完备可以等受害者涌如今公开场合之后再进行窥伺。
如果攻击者拥有前辈和精密的监听设备，他们乃至可以在很远的间隔乃至隔墙进行监听。

根据论文，攻击的第一步是记录目标键盘上的按键，由于演习预测算法须要这些数据。
这一点可以通过附近的麦克风或被恶意软件传染并许可其访问麦克风的目标手机来实现。
又或者，可以通过Zoom通话来实现，须要一名不法会议参与者将目标输入的信息与干系录音进行关联。

在该研究中，研究职员通过在一台MacBook Pro上按下36个键，每个键按25次，并记录每次按键所产生的声音来网络演习数据。
接着，他们通过录音制作出波形和频谱图，直不雅观显示每个按键的可识别差异，并实行特定的数据处理步骤，以增强可用于识别按键的旗子暗记。

频谱图图像被用于演习图像分类器“CoAtNet”，而这一过程须要对历时、学习率和数据分割参数进行一些试验，直到得到最佳预测精度结果。
CoANet分类器对智好手机录音的预测准确率达到 95%，对通过Zoom录音的预测准确率达到93%。
Skype的准确率较低，但也达到了91.7%。

在研究者看来，条记本电脑因其便携性而成为最空想的攻击目标。
人们常常带着条记本电脑在图书馆、咖啡馆等公开场合事情和学习，这些地点的打字声音很随意马虎被记录下来，而目标用户毫无察觉。
论文指出，人们对这类攻击毫无察觉，因此也就无从戒备。

对付过分担心声学侧信道攻击的用户，论文建议可以考试测验改变打字风格或利用包含了分外字符、大小写字母和数字的更强密码。
由于根据研究，虽然人工智能可以识别按下shift键的动作，但还不能识别在其他按键声中shift键的“开释峰值”，“这使得按下shift键后潜在字符的搜索空间增加了一倍”。

两步验证也是一个大略的应对方法。
除了密码之外，又增长了通过电子邮件或手机来验证的步骤。
此外，指纹扫描和面部识别等生物识别认证也可以有效降落攻击的风险。

其他的防御方法还包括利用软件重现按键声音、白噪声或基于软件的按键音频过滤器等。
值得把稳的是，该攻击模型即便是对非常安静的键盘也非常有效，因此在机器键盘上添加声音阻尼器或改用薄膜键盘可能都无济于事。

针对这篇论文，Zoom评论道：“除了研究职员建议的预防技能之外，Zoom用户还可以将背景噪音抑制功能配置到更高的设置，在加入会议时默认将麦克风静音，并在会议期间打字时将麦克风静音，以帮助确保信息的安全。
”

随着人工智能的不断发展，这些攻击也会不断地进化。
论文作者建议，未来的研究应剖析利用智能音箱记录按键的情形，“由于这些设备始终处于开启状态，并存在于许多家庭之中”。

***及图片来源：Bleeping Computer、Fortune、Gizmodo、CircleID

iWeekly周末画报独家稿件，未经容许，请勿转载