Ricercatori nel Regno Unito affermano di aver tradotto il suono dei tasti premuti sul laptop nelle lettere corrispondenti con una precisione del 95%, in alcuni casi.

Quella cifra del 95% è stata raggiunta con nient’altro che un iPhone nelle vicinanze. I metodi remoti sono altrettanto pericolosi: su Zoom, la precisione dei tasti registrati è scesa solo al 93%, mentre le chiamate Skype erano ancora precise al 91.7%. 

In altre parole, si tratta di un attacco tramite canale laterale con notevole precisione, requisiti tecnici minimi e un punto di esfiltrazione di dati onnipresente: microfoni, che sono ovunque, dai nostri laptop, ai nostri polsi, fino alle stesse stanze in cui lavoriamo. 

A peggiorare le cose, intervennero i tre la loro carta che hanno raggiunto quello che sostengono sia un record di precisione per gli attacchi acustici del canale laterale (ASCA) senza fare affidamento su un modello linguistico. Invece, hanno utilizzato strati di trasformazione dell’apprendimento profondo e dell’autoattenzione per catturare i suoni della digitazione e tradurli in dati per l’esfiltrazione.

Abbiamo già scritto di persone che usano i microfoni in modi interessanti per curiosare sulla gente; ad esempio, esperimenti che coinvolgono microfoni laser ed hard disk. Alla fine, in genere è più semplice introdurre malware sul PC di un bersaglio e accedere ai suoi dati e alle sequenze di tasti in questo modo senza imbrogli alla Bond.

Difendersi contro "ASCA completamente automatizzate in loco e da remoto"

Per passare dai suoni dei tasti alle lettere vere e proprie, le teste d’uovo hanno registrato una persona che digitava su un MacBook Pro 16 da 2021 pollici utilizzando un telefono posizionato a 17 cm di distanza e hanno elaborato i suoni per ottenere la firma dei tasti premuti. Questi sono stati poi analizzati da un modello di deep learning, che li ha inseriti in reti di convoluzione e attenzione per indovinare quale particolare tasto, o sequenza di tasti, è stato premuto. 

"Sia il telefono che i classificatori di registrazione Zoom hanno raggiunto una precisione all'avanguardia con dati di addestramento minimi in una distribuzione casuale di classi", ha affermato il team nel loro articolo. Ad aumentare i timori per la sicurezza, "la registrazione in questo modo non richiedeva l'accesso all'ambiente della vittima e, in questo caso, non richiedeva alcuna infiltrazione nel dispositivo o nella connessione", hanno osservato gli esperti. 

Come spesso accade con gli attacchi del canale laterale, la mitigazione non è sempre facile. Per fortuna in questo caso non lo è il consumo di energia, frequenze della CPU, luci lampeggianti o Bus RAM perdita di dati inevitabilmente, ma un buon vecchio problema che si verifica tra il computer e la sedia e che in realtà può essere mitigato con una certa facilità. 

Il metodo di protezione più semplice, dicono i ricercatori, è cambiare il proprio stile di digitazione. I ricercatori notano che gli utenti esperti in grado di fare affidamento sulla digitazione tattile sono più difficili da rilevare con precisione, con il riconoscimento di un singolo tasto che scende dal 64 al 40% alle velocità più elevate consentite dalla tecnica. 

Per coloro che non vogliono prendersi il tempo per imparare a diventare un abile dattilografo, il team consiglia alcune tecniche aggiuntive come l'utilizzo di password casuali con più casi. "Molti metodi riescono a riconoscere la pressione del tasto Shift", hanno detto gli accademici, ma "nessun articolo nella letteratura analizzata è riuscito a riconoscere il 'picco di rilascio' del tasto Shift in mezzo al suono di altri tasti." 

In altre parole, mischiare lettere maiuscole e minuscole continua ad essere una buona abitudine. Il team ha anche affermato che coloro che sono preoccupati per gli attacchi acustici del canale laterale possono anche utilizzare semplicemente un secondo fattore di autenticazione per impedire a qualcuno di curiosare sulla tastiera e rubare le password. 

Va tutto bene per le password, ma per quanto riguarda altre informazioni segrete, come i registri aziendali o le informazioni sui clienti? Per risolvere questo problema i ricercatori suggeriscono di riprodurre suoni falsi di battitura per mascherare quelli reali. 

Lavorare tra il ticchettio di tastiere fantasma darebbe sicuramente fastidio a tutti, motivo per cui i ricercatori suggeriscono di aggiungere i suoni alle trasmissioni Skype e Zoom solo dopo aver registrato invece di sottoporre i dipendenti a rumori in tempo reale. Questo, ha scoperto il team, “sembra avere le migliori prestazioni e il minimo fastidio per l’utente”. 

Sono ora in corso ulteriori ricerche sull’utilizzo di nuove fonti per le registrazioni, come altoparlanti intelligenti, migliori tecniche di isolamento della pressione dei tasti e l’aggiunta di un modello linguistico per rendere il loro snooping acustico ancora più efficace. ®

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://go.theregister.com/feed/www.theregister.com/2023/08/07/audio_keystroke_security/