Neuer akustischer Angriff stiehlt Tastenanschlagsdaten mit 95 % Genauigkeit

 (bleepingcomputer.com)
7 Punkte von GN⁺ 2023-08-06 | 1 Kommentare | Auf WhatsApp teilen
  • Ein britisches Forschungsteam hat ein Deep-Learning-Modell entwickelt, das mithilfe eines akustischen Angriffs Daten aus Tastatureingaben mit einer Genauigkeit von 95 % stehlen kann.
  • Die Genauigkeit dieses Modells sinkt auf 93 %, wenn der Algorithmus zur Klangklassifizierung mit Zoom trainiert wird, doch das ist weiterhin gefährlich hoch und in diesem Bereich ein Rekordwert.
  • Diese Art von Angriff stellt eine erhebliche Bedrohung für die Datensicherheit dar, da dabei Passwörter, Gespräche, Nachrichten und andere sensible Informationen an böswillige Dritte preisgegeben werden können.
  • Anders als andere Side-Channel-Angriffe, die bestimmte Bedingungen erfordern und bei Datenrate und Entfernung eingeschränkt sind, sind akustische Angriffe deutlich einfacher geworden, da Geräte mit Mikrofonen für Audioaufnahmen in hoher Qualität weit verbreitet sind.
  • Der erste Schritt des Angriffs besteht darin, die Tastenanschläge auf der Tastatur des Ziels aufzuzeichnen; dies kann über ein Mikrofon in der Nähe, über das mit Malware infizierte Telefon des Ziels oder über einen Zoom-Anruf erfolgen.
  • Die Forschenden sammelten Trainingsdaten, indem sie die beim Drücken von 36 Tasten eines MacBook Pro entstehenden Geräusche aufzeichneten und jede Taste 25-mal betätigten.
  • Die aufgezeichneten Tastenanschlagsgeräusche wurden in Wellenformen und Spektrogramme umgewandelt und zum Training des Bildklassifikators CoAtNet verwendet.
  • Die Forschenden erreichten eine Genauigkeit von 95 % bei Smartphone-Aufnahmen und 93 % bei über Zoom aufgezeichnetem Material. Skype zeigte mit 91,7 % eine geringere, aber weiterhin nutzbare Genauigkeit.
  • Um das Risiko akustischer Side-Channel-Angriffe zu verringern, können Nutzer ihren Tippstil ändern, zufällige Passwörter verwenden, Tastenanschlagsgeräusche nachbilden, White Noise einsetzen oder softwarebasierte Audiofilter für Tastenanschläge nutzen.
  • Die Forschenden empfehlen als zusätzliche Vorsichtsmaßnahmen, wenn möglich biometrische Authentifizierung zu verwenden und einen Passwortmanager zu nutzen, um die manuelle Eingabe sensibler Informationen zu vermeiden.
  • Das Angriffsmodell erwies sich selbst bei sehr leisen Tastaturen als äußerst effektiv. Das deutet darauf hin, dass weder Schalldämpfer für mechanische Tastaturen noch der Wechsel zu einer Membrantastatur viel helfen würden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-08-06
Hacker-News-Kommentare
  • Der Artikel behandelt einen neuen akustischen Angriff, der Daten aus Tastatureingaben mit einer Genauigkeit von 95 % stehlen kann.
  • Die Experimente wurden mit demselben Laptop und Mikrofon durchgeführt, um Trainings- und Testdaten zu erzeugen.
  • Das Modell wurde mit über Zoom gesammelten Daten trainiert, um einen praktischen Side-Channel-Angriff zu ermöglichen.
  • Es wird die Frage aufgeworfen, ob die vom Modell erkannten akustischen Merkmale der physische Fingerabdruck jeder Taste sind oder Resonanzmuster innerhalb der Tastatur bzw. des Laptops; das ist nicht eindeutig.
  • Die Leistung des Modells kann davon abhängen, wie stark jede Taste gedrückt wird und welche Art von Tastatur verwendet wird.
  • Diese Entwicklung ist aus Sicherheits- und Spionageperspektive bedeutsam, da sie darauf hindeutet, dass empfindliche Audio-Wanzen im Grunde als Keylogger funktionieren könnten.
  • Einige Videokonferenzprogramme, darunter Zoom, könnten die Gefahr dieses Angriffs begrenzen, indem sie Tastaturgeräusche als Teil ihrer Rauschunterdrückung aus dem Audio entfernen.
  • Es gibt Fragen zur Leistung des Modells bei durchschnittlich schnellen oder schnellen Tippenden. Die Beispielgrafik zeigt einen Tastendruck alle 0,5 Sekunden und deutet damit auf einen bestimmten Tippstil hin.
  • Der Artikel hat Interesse an kabellosen Tastaturen geweckt, die diese Technik verwenden und weder Batterien noch Aufladen oder Synchronisierung benötigen.
  • Einige Leser schlagen die Verwendung von Einmalpasswörtern als mögliche Lösung für diese Bedrohung vor.
  • Andere schlagen als Gegenmaßnahme vor, Hintergrundaudio mit Tippgeräuschen in Zoom-Anrufe einzuspeisen.