Bir grup akademisyen, yakındaki bir telefon kullanılarak kaydedilen dizüstü bilgisayar tuş vuruşlarını %95 doğrulukla sınıflandırmak için kullanılabilecek bir “derin öğrenme tabanlı akustik yan kanal saldırısı” tasarladı.
Araştırmacılar Joshua Harrison, Ehsan Toreini ve Maryam Mehrnezhad, geçen hafta yayınlanan yeni bir çalışmada, “Video konferans yazılımı Zoom kullanılarak kaydedilen tuş vuruşları üzerinde eğitildiğinde, %93’lük bir doğruluk elde edildi, bu ortam için yeni bir en iyi” dedi.
Yan kanal saldırıları, hassas verilerin işlenmesi sırasında sistemin fiziksel etkilerini izleyerek ve ölçerek bir sistemden bilgi toplamayı amaçlayan bir güvenlik açıkları sınıfını ifade eder. Yaygın gözlemlenebilir etkilerden bazıları çalışma zamanı davranışı, güç tüketimi, elektromanyetik radyasyon, akustik ve önbellek erişimlerini içerir.
Tamamen yan kanallardan arınmış bir uygulama mevcut olmasa da, bu türden pratik saldırılar, kötü niyetli bir aktör tarafından parolaları ve diğer gizli verileri elde etmek için silah haline getirilebileceğinden, kullanıcı gizliliği ve güvenliği açısından zararlı sonuçlar doğurabilir.
Araştırmacı, “Klavye akustik yayılımlarının her yerde bulunması, onları yalnızca hazır bir saldırı vektörü haline getirmekle kalmıyor, aynı zamanda kurbanları çıktılarını hafife almaya (ve bu nedenle saklamaya çalışmamaya) teşvik ediyor” dedi. “Örneğin, bir parola yazarken, insanlar düzenli olarak ekranlarını gizler, ancak klavyelerinin sesini gizlemek için çok az şey yaparlar.”
Araştırmacılar, saldırıyı gerçekleştirmek için ilk olarak Apple MacBook Pro’nun 36 tuşunun (0-9, az) kullanıldığı, her bir tuşa farklı basınç ve parmakla 25 kez arka arkaya basıldığı deneyler gerçekleştirdi. Bu bilgiler hem dizüstü bilgisayara fiziksel olarak yakın bir telefon hem de Zoom aracılığıyla kaydedildi.
Bir sonraki aşama, bireysel tuş vuruşlarının izole edilmesini ve bunların, tuş vuruşu görüntülerini sınıflandırmak için CoAtNet (“coat” ağları olarak telaffuz edilir ve evrişim ve kendi kendine dikkat ağlarının kısaltması) adlı derin bir öğrenme modelinin çalıştırıldığı bir mel-spektrograma dönüştürülmesini gerektirdi.
Karşı önlem olarak, araştırmacılar, tam sözcükleri içeren parolalar yerine rastgele parolalar kullanmayı ve sesli aramaya dayalı saldırılar için rastgele oluşturulmuş sahte tuş vuruşlarını eklemeyi, yazma stili değişikliklerini önermektedir.