Mobil cihazlar ve uygulamalar, kullanıcı tanımlamada giderek artan bir rol oynamaktadır, ancak kimlik hırsızlığına benzeyen şifre hırsızlığı, yan kanalları kullanan gizli dolaylı saldırılar da dahil olmak üzere çeşitli gizlice dinleme saldırılarına davetiye çıkarmaktadır.
Yan kanalları (akustik, elektromanyetik vb.) kullananlar gibi dolaylı saldırılar, hedef ekranı görmeye gerek kalmadan şifreleri gizlice çıkararak daha yüksek risk oluşturur.
İlgili üniversitelerden aşağıdaki siber güvenlik araştırmacıları yakın zamanda, tuş vuruşlarını gizlice dinleyerek WiFi şifrelerini çalmaya yönelik “WiKI-Eve” adı verilen yeni bir istismarı açıkladı: –
- Jingyang Hu (Hunan Üniversitesi, Çin)
- Hongbo Wang (Nanyang Teknoloji Üniversitesi, Singapur)
- Tianyue Zheng (Nanyang Teknoloji Üniversitesi, Singapur)
- Jingzhi Hu (Nanyang Teknoloji Üniversitesi, Singapur)
- Zhe Chen (Fudan Üniversitesi, Çin)
- Hongbo Jiang (Hunan Üniversitesi, Çin)
- Jun Luo (Nanyang Teknoloji Üniversitesi, Singapur)
Dinlenerek Wi-Fi Şifreleri
Yan kanallar arasında benzersiz olan Wi-Fi CSI, şifre hırsızlığı için tuş vuruşlarını çıkararak veri açığı sorunlarına yol açabilir. Bu nedenle araştırmacılar WiKI-Eve’in BFI varyasyonları yoluyla sayısal şifreleri çalmasını önerdi.
Siber güvenlik analistleri Wi-Fi üzerinde BFI’yi kullanarak donanım korsanlığından kaçındı ve WiKI-Eve’de tuş vuruşu çıkarımı için çekişmeli eğitimle derin öğrenmeyi kullanarak sınırlı verilerle pratiklik sağladı ve veri eksikliğini giderdi.
İki CSI tabanlı KI yöntemi vardır ve burada bunlardan bahsetmiştik: –
- Bant içi KI (IKI)
- Bant dışı KI (OKI)
Güvenlik analistleri, Android sınırlamaları nedeniyle deneylerde bir dizüstü bilgisayar (Intel AX210 Wi-Fi NIC’li Acer TravelMate) kullandı. BFI’leri Wireshark ile monitör modunda yakaladılar, Matlab ve Python ile PyTorch kullanarak analiz ettiler ve verilerini ve ön işleme kodlarını çevrimiçi olarak herkese açık olarak paylaştılar.
Güvenlik analistleri, tuş vuruşu sınıflandırma doğruluğunu ve en üst düzey şifre çıkarım doğruluğunu kullanarak değerlendirme yapar. Tuş vuruşu doğruluğu, doğru tuş vuruşlarını ölçerken, üst- doğruluğu, en üst- olasılığındaki bir aday şifrenin çıkarım için doğru olanla eşleşip eşleşmediğini kontrol eder.
Uzmanlar önce WiKI-Eve’in yapı taşlarını mikro kıyaslamalarla gösteriyor, ardından genel performansı ve pratik faktörleri değerlendiriyor. Gerçek dünya deneyleri, WiKI-Eve’in WeChat Pay şifrelerini ve bunların QWERTY klavyelere uygulanmasını çaldığını gösteriyor.
WiKI-Eve’in pratikliğini göstermek için, Eve’in Bob’un (kurban) WeChat Pay şifresini gizlice çaldığı, Bob’un 5 m × 8 m’lik bir konferans odasında iPhone 13 kullanarak işlem yaptığı ve Eve’in 3 metre uzaktan kulak misafiri olduğu bir gerçek dünya deneyi gerçekleştiriyorlar.
Veri trafiğini şifrelemek WiKI-Eve’e karşı doğrudan bir savunmadır ancak yüksek kullanıcı dinamiğine sahip sistemleri karmaşık hale getirebilir. Dolaylı bir savunma olan klavye rastgeleleştirmesi, karmaşıklığı kullanıcılara kaydırır ancak parola girişi için kas hafızasına güvenenleri rahatsız edebilir.
Çok yönlü bir Wi-Fi KI saldırısı olan WiKI-Eve, herhangi bir bilgisayar korsanlığı veya özel donanım gerektirmez ve geniş bir uygulanabilirlik sunar. Karşıt öğrenmesi, görünmeyen alanlara genellenir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, ikiTterve Facebook.