科技 2023-08-09 13:02

英国达勒姆大学(Durham University)的一个研究小组发现了一个漏洞,可以让攻击者根据每次敲击键盘的声音,找出你在MacBook Pro上输入的内容。

这类攻击并不是什么新鲜事。研究人员发现,早在20世纪50年代就有研究利用声学来识别人们写的东西。他们还指出,第一份详细描述这种攻击面使用的文件是1972年为美国国家安全局(NSA)编写的,这促使人们猜测这种攻击可能已经到位。

研究人员写道:“(来自)政府的AS- ca使人们猜测,这种攻击可能已经在现代设备上发生了,但仍然是保密的。”

毫无疑问,如果美国和英国政府一直在探索此类漏洞,那么其他国家也会这么做。

攻击是如何进行的

据哔哔电脑报道,英国安全研究人员发现了如何识别你输入的内容,准确率高达95%。这种结合了音频和人工智能的攻击并不局限于mac电脑。

这里更详细地解释了这个漏洞,但它并不完全直截了当。为了训练AI,攻击者首先需要调整你的按键声音。这意味着要识别每个按键的具体声音,不过,如果你在Zoom对话期间碰巧在聊天中打字,而会议中其他人能听到你的Mac键盘,这是可以实现的。

研究人员称,一旦攻击算法将每个声音与每个按键相匹配,它就会捕获你输入的内容。白皮书解释说:“研究人员通过在现代MacBook Pro上按36个键,每个键按25次,并记录每次按下产生的声音,来收集训练数据。”

这意味着什么?

简单地说,这种攻击的本质意味着,如果有人可以访问你的电脑并记录训练数据——或者可以找到其他方式来收听和识别你打字时键盘发出的声音——他们就可以使用人工智能来相当准确地监控你的工作。他们所需要的只是能够倾听。

用于监听的麦克风可以是你在Zoom上留下的麦克风,也可以是被黑客入侵的智能手机里的麦克风,或者是一个滥用隐私协议访问麦克风的应用程序。麦克风甚至可以是一个传统的窥探设备,一旦到位,深度学习算法可以让攻击者获得敏感数据、密码等信息。

下一个什么?

尽管这个漏洞看起来令人担忧,但它也很好地说明了人工智能如何以新颖的方式使用,以新的方式破坏安全边界。随着量子计算成本的下降,这将变得更加成问题,因为这些机器处理数据的速度比我们今天使用的计算机快得多。

理论上,这些量子计算机可以在几个小时内破解互联网所依赖的加密密钥,这意味着传统密码相对容易被破解。

研究人员推测,主题可能包括使用智能扬声器来帮助进行键盘敲击分类(这就是我所说的Siri Sleuthing),或者添加生成人工智能风格的LLM模型来改进击键识别。

这种性质的声音攻击也更容易实现,因为现在很多设备都有内置麦克风,而人工智能研究也在不断发展。甚至苹果公司也有读唇Siri的专利。似乎需要的是首先保护隐私的决心,但在一些关键方面似乎缺乏这样做的意愿。

你能做什么

有一些缓解措施可以帮助对抗此类攻击。随机密码具有多种情况和自由使用shift键可能会有所帮助,而触摸输入也会降低准确性,可能是因为打字员在输入时具有相对一致的节奏。研究人员建议人们尝试改变自己的打字风格来混淆算法。

其他防御措施包括白噪声、基于软件的键盘音频过滤器,或复制随机击键声音以混淆算法的软件。

我想在你的Mac上使用不同的键盘也会有所帮助,同时使用生物识别认证、密码管理器和密码密钥可以帮助限制攻击者获取的信息。

如果应用程序试图声称有权使用你的麦克风,那么定期审核所有设备上的应用程序也是有意义的。你永远不知道谁会听到。

请在Mastodon上关注我,或者在MeWe上加入我的苹果爱好者的酒吧和烧烤以及苹果讨论组。