過去我們都知道駭客最常利用釣魚網站、擷取傳輸的明碼、甚至是暴力破解的方式來竊取個資的帳號、密碼,但是國外的團隊最近發現一種新型態的帳號、密碼竊取方式,可以利用你打字時所發出的鍵盤聲音,破解你的帳號密碼。
利用 AI 分析敲擊聲音破解你的帳號密碼
最近,英國的研究人員 Joshua Harrison, Ehsan Toreini, Maryam Mehrnezhad 發表了一篇論文,裡面提到只要透過「鍵盤打字的聲音」,就能分辨出使用者輸入了什麼字,而且準確率高達 95%。
首先,研究人員利用 MacBook Pro 的 36 個按鍵,並且各敲擊 25 次,透過 iPhone 13 mini 及 Zoom、Skype 錄下每次按下按鍵所產生的聲音。
接著把敲擊的聲音產生出波形圖,利用視覺化的方式辨別每一個按鍵敲擊時聲音的差異,並透過圖像分析程式 CoAtNet 執行特定的 AI 訓練步驟。
再來,研究員假設駭客已經駭進了你與他人的聊天會議中,並且錄製下你們聊天的內容,把錄製的內容丟到 AI 中進行分析。
分析程式會擷取內容中打字的聲音,並且利用 AI 訓練的分析資料,生成你到底按了哪些按鍵的結果。
簡單來說,就是透過聲音的差異,反推出你按了哪幾個按鍵,這樣就可以拼出你的帳號密碼。
準確率高達 92% 至 95%
雖然說實驗的結果並非 100% 準確,但是準確率已經達到 92% 到 95% 之間,而且就算中途有語音聊天的聲音,訓練程式依然可以順利、準確的辨識出鍵盤的敲擊聲音。
根據實驗的結果:
- 利用 iPhone 13 mini 錄音所產出的敲擊分析準確率達 95%
- 利用 Zoom 搭配 MacBook 麥克風錄音產出的敲擊分析準確率為 93%
- 利用 Skype 搭配 MacBook麥克風錄音產出的敲擊分析準確率為 91.7%
如何避免敲擊按鍵的聲音被解碼成帳密?
研究團隊也指出,就算在靜音鍵盤上敲擊,這類的攻擊型態還是有效。
如果想要避免的話:
- 不要在通話中敲擊個人資料或帳號密碼
- 更改打字風個(但我個人覺得這有點難)
- 輸入個資或帳號密碼時關閉麥克風
我覺得第三個作法是比較有效的,但是如果駭客是從外部錄音的話,關閉通訊軟體的麥克風可能就沒什麼效用。