Bir grup akademisyen, yakındaki bir telefon kullanılarak kaydedilen dizüstü bilgisayar tuÅŸ vuruÅŸlarını %95 doÄŸrulukla sınıflandırmak için kullanılabilecek bir “derin öğrenme tabanlı akustik yan kanal saldırısı” tasarladı.
AraÅŸtırmacılar Joshua Harrison, Ehsan Toreini ve Maryam Mehrnezhad, geçen hafta yayınlanan yeni bir çalışmada, “Video konferans yazılımı Zoom kullanılarak kaydedilen tuÅŸ vuruÅŸları üzerinde eÄŸitildiÄŸinde, %93’lük bir doÄŸruluk elde edildi, bu ortam için yeni bir en iyi” dedi.
Yan kanal saldırıları, hassas verilerin işlenmesi sırasında sistemin fiziksel etkilerini izleyerek ve ölçerek bir sistemden bilgi toplamayı amaçlayan bir güvenlik açıkları sınıfını ifade eder. Yaygın gözlemlenebilir etkilerden bazıları çalışma zamanı davranışı, güç tüketimi, elektromanyetik radyasyon, akustik ve önbellek erişimlerini içerir.
Tamamen yan kanallardan arınmış bir uygulama mevcut olmasa da, bu türden pratik saldırılar, kötü niyetli bir aktör tarafından parolaları ve diğer gizli verileri elde etmek için silah haline getirilebileceğinden, kullanıcı gizliliği ve güvenliği açısından zararlı sonuçlar doğurabilir.
AraÅŸtırmacı, “Klavye akustik yayılımlarının her yerde bulunması, onları yalnızca hazır bir saldırı vektörü haline getirmekle kalmıyor, aynı zamanda kurbanları çıktılarını hafife almaya (ve bu nedenle saklamaya çalışmamaya) teÅŸvik ediyor” dedi. “ÖrneÄŸin, bir parola yazarken, insanlar düzenli olarak ekranlarını gizler, ancak klavyelerinin sesini gizlemek için çok az ÅŸey yaparlar.”
AraÅŸtırmacılar, saldırıyı gerçekleÅŸtirmek için ilk olarak Apple MacBook Pro’nun 36 tuÅŸunun (0-9, az) kullanıldığı, her bir tuÅŸa farklı basınç ve parmakla 25 kez arka arkaya basıldığı deneyler gerçekleÅŸtirdi. Bu bilgiler hem dizüstü bilgisayara fiziksel olarak yakın bir telefon hem de Zoom aracılığıyla kaydedildi.
Bir sonraki aÅŸama, bireysel tuÅŸ vuruÅŸlarının izole edilmesini ve bunların, tuÅŸ vuruÅŸu görüntülerini sınıflandırmak için CoAtNet (“coat” aÄŸları olarak telaffuz edilir ve evriÅŸim ve kendi kendine dikkat aÄŸlarının kısaltması) adlı derin bir öğrenme modelinin çalıştırıldığı bir mel-spektrograma dönüştürülmesini gerektirdi.
Karşı önlem olarak, araştırmacılar, tam sözcükleri içeren parolalar yerine rastgele parolalar kullanmayı ve sesli aramaya dayalı saldırılar için rastgele oluşturulmuş sahte tuş vuruşlarını eklemeyi, yazma stili değişikliklerini önermektedir.